Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens

De bevoegde veiligheidsautoriteiten van de partijen staan vermeld in Bijlage 1 bij dit Verdrag.

De bevoegde veiligheidsautoriteiten voorzien elkaar van de officiële contactgegevens.

De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in hun nationale wetgeving staan vermeld:

De partijen nemen alle passende maatregelen om te waarborgen dat de ontvangende partij alle gerubriceerde gegevens uit hoofde van dit Verdrag die zij ontvangen heeft van de verstrekkende partij, voorziet van het rubriceringsniveau dat overeenkomt met het door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met de tabel in het eerste lid van dit artikel.

De partijen nemen alle passende maatregelen om te waarborgen dat de ontvangende partij het rubriceringsniveau van de ontvangen gerubriceerde gegevens uit hoofde van dit Verdrag niet wijzigt of intrekt zonder de schriftelijke goedkeuring van de partij van herkomst.

De partij van herkomst waarborgt dat de ontvangende partij op de hoogte wordt gebracht van elke verandering van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.

De partijen nemen alle passende maatregelen in overeenstemming met hun nationale wet- en regelgeving om de in dit Verdrag bedoelde gerubriceerde gegevens te beveiligen. Zij kennen aan dergelijke gegevens dezelfde beveiliging toe als aan hun eigen gegevens met een vergelijkbaar rubriceringsniveau. Elektronische overdracht van gerubriceerde gegevens in een onbeveiligd netwerk door de ontvangende partij zal plaatsvinden met gebruikmaking van cryptografische middelen.

De partijen verstrekken geen toegang tot gerubriceerde gegevens aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst.

De toegang tot gerubriceerde gegevens wordt beperkt tot personen die van de gegevens op de hoogte moeten zijn (need to know), zijn geïnstrueerd over hun verantwoordelijkheden voor de bescherming van gerubriceerde gegevens, een geheimhoudingsverklaring hebben ondertekend en/of wettelijk tot geheimhouding verplicht zijn en in het bezit zijn van een veiligheidsmachtiging personeel van het overeenkomstige niveau of uit hoofde van hun functie gemachtigd zijn om toegang te hebben tot dergelijke gegevens, een en ander in overeenstemming met de nationale wet- en regelgeving.

Een veiligheidsmachtiging personeel is niet vereist voor toegang tot gerubriceerde gegevens met een rubriceringsniveau dat overeenkomt met “RESTRICTED” zoals vermeld in artikel 4 van dit Verdrag.

Gerubriceerde gegevens worden uitsluitend gebruikt voor het doel waarvoor zij zijn verstrekt.

Teneinde vergelijkbare veiligheidsnormen te handhaven, verstrekken de bevoegde veiligheidsautoriteiten elkaar op verzoek informatie over hun nationale wet- en regelgeving, beleid en praktijken met betrekking tot de beveiliging van gerubriceerde gegevens.

Op verzoek van de bevoegde veiligheidsautoriteit van de ene partij bevestigt de bevoegde veiligheidsautoriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie is afgegeven.

De bevoegde veiligheidsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met de nationale wet- en regelgeving, bijstand bij het uitvoeren van onderzoeken in verband met de afgifte van een veiligheidsmachtiging bedrijfslocatie en veiligheidsmachtiging personeel.

De bevoegde veiligheidsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen bedrijfslocatie en veiligheidsmachtigingen personeel waarvoor een bevestiging is verstrekt.

Bij de samenwerking uit hoofde van dit Verdrag wordt gebruikgemaakt van de Engelse taal.

Op verzoek deelt de bevoegde veiligheidsautoriteit van de ontvangende partij de bevoegde veiligheidsautoriteit van de partij van herkomst mee of een voorgestelde opdrachtnemer die deelneemt aan precontractuele onderhandelingen over een gerubriceerd contract, een passende veiligheidsmachtiging bedrijfslocatie heeft gekregen die overeenstemt met het vereiste rubriceringsniveau.

Indien een partij of een opdrachtnemer onder haar rechtsmacht een gerubriceerd contract met een rubriceringsniveau dat overeenkomt met CONFIDENTIAL of hoger, zoals vermeld in artikel 4 van dit Verdrag, gunt aan een (onder)opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie is toegekend.

In geval van een openbare aanbesteding kan de bevoegde veiligheidsautoriteit van de ontvangende partij de bevoegde veiligheidsautoriteit van de partij van herkomst de relevante certificaten van veiligheidsmachtiging bedrijfslocatie verstrekken zonder een formeel verzoek daartoe.

Een veiligheidsmachtiging bedrijfslocatie is niet vereist voor toegang tot gerubriceerde gegevens op het rubriceringsniveau dat overeenkomt met “RESTRICTED” zoals vermeld in artikel 4 van dit Verdrag.

Vertegenwoordigers van de bevoegde veiligheidsautoriteiten van de partijen kunnen elkaar bezoeken om de doeltreffendheid te beoordelen van de maatregelen die een opdrachtnemer heeft genomen ter bescherming van gerubriceerde gegevens die te maken hebben met een gerubriceerd contract.

Elk gerubriceerd contract dat in overeenstemming met dit Verdrag wordt gesloten dient veiligheidsvereisten te bevatten waarin de volgende aspecten vermeld staan:

De bevoegde veiligheidsautoriteit van de partij die de toekenning van het gerubriceerde contract goedkeurt, stuurt een kopie van het hoofdstuk over de veiligheidsvereisten naar de bevoegde veiligheidsautoriteit van de ontvangende partij, om het veiligheidstoezicht op het contract te vergemakkelijken.

De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 10 van dit Verdrag te zijn.

Indien een opdrachtnemer delen van een gerubriceerd contract uitbesteedt aan een onderaannemer, waarborgen de opdrachtnemer en de onderaannemer de naleving van dit artikel.

Gerubriceerde gegevens worden overgedragen in overeenstemming met de nationale wet- en regelgeving van de verstrekkende partij of zoals anderszins overeengekomen tussen de bevoegde veiligheidsautoriteiten.

De partijen kunnen gerubriceerde gegevens die door encryptie beveiligd zijn langs elektronische weg overdragen in overeenstemming met procedures die door de bevoegde veiligheidsautoriteiten dienen te worden goedgekeurd.

Reproducties en vertalingen van gerubriceerde gegevens krijgen dezelfde rubriceringsmarkering en beveiliging als de oorspronkelijke gerubriceerde gegevens.

Vertalingen of reproducties worden beperkt tot het minimumaantal dat nodig is voor gebruik uit hoofde van dit Verdrag en worden uitsluitend gemaakt door natuurlijke personen die in overeenstemming met de nationale wet- en regelgeving gemachtigd zijn toegang te hebben tot gerubriceerde gegevens met het rubriceringsniveau van de gerubriceerde gegevens die vertaald of gereproduceerd worden.

Vertalingen dienen te worden voorzien van een passende annotatie in de taal waarin zij zijn vertaald met de aanduiding dat zij gerubriceerde gegevens bevatten van de verstrekkende partij.

Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met “TOP SECRET” zoals vermeld in artikel 4 van dit Verdrag worden niet vertaald of gereproduceerd zonder voorafgaande schriftelijke toestemming van de partij van herkomst.

Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met “TOP SECRET” zoals vermeld in artikel 4 van dit Verdrag worden niet vernietigd zonder voorafgaande schriftelijke toestemming van de partij van herkomst. Zij worden geretourneerd aan de partij van herkomst nadat de verstrekkende en de ontvangende partij ze niet meer nodig achten.

Gerubriceerde gegevens tot en met rubriceringsniveaus die overeenkomen met “SECRET” zoals vermeld in artikel 4 van dit Verdrag worden in overeenstemming met haar nationale wet- en regelgeving vernietigd nadat de ontvangende partij ze niet meer nodig acht.

Indien een crisissituatie het onmogelijk maakt de uit hoofde van dit Verdrag verstrekte gerubriceerde gegevens te beveiligen, dienen de gerubriceerde gegevens onmiddellijk vernietigd te worden. De ontvangende partij stelt de bevoegde veiligheidsautoriteit van de verstrekkende partij onverwijld in kennis van de vernietiging van deze gerubriceerde gegevens.