LegalizeVerdrag tussen het Koninkrijk der Nederlanden en de Federatieve Republiek Brazilië inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens (met Bijlage)
Het Koninkrijk der Nederlanden
en
de Federatieve Republiek Brazilië,
Hierna gezamenlijk te noemen „partijen“ of afzonderlijk „partij“,
In het belang van de nationale veiligheid en om de beveiliging te waarborgen van gerubriceerde gegevens die binnen de reikwijdte van samenwerkingsinstrumenten, contracten en overige overeenkomsten tussen de partijen, hun geaccrediteerde natuurlijke personen, lichamen alsmede publieke en private entiteiten worden uitgewisseld,
Geleid door de wens een kader voor regels en procedures inzake gerubriceerde gegevens vast te stellen in overeenstemming met de nationale wet- en regelgeving van de partijen,
Bevestigend dat dit Verdrag de verplichtingen van beide partijen die voortvloeien uit andere internationale overeenkomsten onverlet laat en niet gebruikt wordt om in te gaan tegen de belangen, veiligheid en territoriale integriteit van andere staten,
Zijn het volgende overeengekomen:
Artikel I. Doel
In dit Verdrag worden de regels en procedures vastgesteld voor de beveiliging van gerubriceerde gegevens die worden uitgewisseld tussen bovengenoemde partijen, hun geaccrediteerde natuurlijke personen, lichamen alsmede publieke of private entiteiten onder hun rechtsmacht.
Dit Verdrag vormt geen basis om de partijen ertoe te verplichten gerubriceerde gegevens te verstrekken of uit te wisselen.
Artikel II. Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
- a. Verdrag, dit verdrag met inbegrip van de Bijlagen daarbij;
- b. Bijlage, een bijlage bij dit Verdrag;
- c. Gerubriceerd contract, een contract, met inbegrip van eventuele voorafgaande contractonderhandelingen, waarbij voor de uitvoering toegang of mogelijk toegang tot gerubriceerde gegevens vereist is of waarbij deze gecreëerd worden;
- d. Gerubriceerde gegevens, gegevens, materiaal of voorwerpen, ongeacht de vorm of aard daarvan, of delen daarvan, met een bepaald rubriceringsniveau, die ongeacht de wijze waarop ze worden aangeboden, beveiligd dienen te worden tegen ongeoorloofde toegang, bekendmaking of andere vorm van compromittering van het doel waarvoor ze bestemd waren, om schade of aantasting van de belangen van een of beide partijen te voorkomen, in overeenstemming met de respectieve wet- en regelgeving van elke partij en dit Verdrag;
- e. Bevoegde beveiligingsautoriteit, de autoriteit van elke partij die verantwoordelijk is voor de beveiliging van gerubriceerde gegevens uit hoofde van dit Verdrag;
- f. Compromittering, elke vorm van misbruik, schade of ongeoorloofde toegang, verandering, bekendmaking of vernietiging met betrekking tot gerubriceerde gegevens, alsook elk ander handelen of nalaten te handelen dat resulteert in het verlies van de vertrouwelijkheid, integriteit, beschikbaarheid of authenticiteit ervan;
- g. Opdrachtnemer, elke rechtspersoon onder de rechtsmacht van een partij die een gerubriceerd contract aangaat of er anderszins door gebonden is;
- h. Veiligheidsmachtiging bedrijfslocatie, de vaststelling door de bevoegde beveiligingsautoriteit dat een publieke of private entiteit passende beveiligingsmaatregelen heeft genomen en derhalve geaccrediteerd is voor de omgang met gerubriceerde gegevens in overeenstemming met de nationale wet- en regelgeving van elke partij;
- i. Omgang met gerubriceerde gegevens, een reeks handelingen die verband houden met de/het productie, ontvangst, rubricering, gebruik, toegang, reproductie, vervoer, overbrenging, distributie, archivering, opslag, verwijdering, bestemming of controle van gerubriceerde gegevens met een bepaald rubriceringsniveau;
- j. Need to Know, het vereiste voor een natuurlijke persoon voor toegang tot, kennis van of bezit van gerubriceerde gegevens in verband met het uitoefenen van officiële werkzaamheden en taken;
- k. Partij van herkomst, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd;
- l. Veiligheidsmachtiging personeel, de vaststelling door de bevoegde beveiligingsautoriteit dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens op een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving;
- m. Verstrekkende entiteit, de partij, of een opdrachtnemer, die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende entiteit;
- n. Ontvangende entiteit, de partij, of een opdrachtnemer, die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt;
- o. Inbreuk op de beveiliging, elk opzettelijk of onbedoeld handelen of nalaten te handelen dat resulteert in een feitelijke of mogelijke compromittering van gerubriceerde gegevens die uit hoofde van dit Verdrag zijn verstrekt of gegenereerd;
- p. Rubriceringsniveau, de mate van beveiliging die wordt toegekend aan gerubriceerde gegevens, in overeenstemming met de nationale wet- en regelgeving van elke partij en zoals opgenomen in artikel IV, eerste lid, van dit Verdrag; en
- q. Derde, elke organisatie, staat, regering of natuurlijke persoon die geen partij is bij dit Verdrag.
Artikel III. Bevoegde beveiligingsautoriteiten
De bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor de implementatie van en het toezicht op dit Verdrag, staan vermeld in de Bijlage bij dit Verdrag.
De bevoegde beveiligingsautoriteit kan delen van zijn verantwoordelijkheden delegeren aan een gemachtigde bevoegde beveiligingsautoriteit.
Elke partij stelt de andere partij schriftelijk in kennis van de contactgegevens van hun respectieve beveiligingsautoriteiten. De bevoegde beveiligingsautoriteiten van de partijen informeren elkaar schriftelijk over veranderingen in hun contactgegevens.
Om nauwe samenwerking bij de implementatie van dit Verdrag te waarborgen, kunnen de bevoegde beveiligingsautoriteiten elkaar wanneer nodig raadplegen.
Vertegenwoordigers van beide bevoegde beveiligingsautoriteiten kunnen elkaars bedrijfslocaties bezoeken om kennis op te doen over de beveiligingsprocedures en -maatregelen die van toepassing zijn op gerubriceerde gegevens, op voorwaarde dat de bevoegde beveiligingsautoriteit die als gastheer optreedt hiervoor toestemming geeft.
De bevoegde beveiligingsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met hun nationale wet- en regelgeving, bijstand bij het uitvoeren van de procedures in verband met de afgifte van veiligheidsmachtigingen bedrijfslocatie of veiligheidsmachtigingen personeel.
Op verzoek van de bevoegde beveiligingsautoriteit van de ene partij bevestigt de bevoegde beveiligingsautoriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie is afgegeven.
De bevoegde beveiligingsautoriteiten van de partijen erkennen wederzijds hun veiligheidsmachtigingen personeel en veiligheidsmachtigingen bedrijfslocatie die overeenkomstig hun respectieve wet- en regelgeving en binnen de reikwijdte van dit Verdrag zijn afgegeven.
De bevoegde beveiligingsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen bedrijfslocatie of veiligheidsmachtigingen personeel waarvoor een bevestiging is verstrekt overeenkomstig het achtste lid van dit artikel.
Artikel IV. Rubriceringsniveaus
De partijen komen overeen dat, in overeenstemming met hun respectieve wet- en regelgeving, de rubriceringsniveaus als volgt met elkaar corresponderen:
| Rubricering partij van herkomst | Rubricering ontvangende entiteit |
|---|---|
| „Stg. ZEER GEHEIM” | „ULTRASSECRETO” |
| „Stg. GEHEIM” | „SECRETO” |
| „Stg. CONFIDENTIEEL” | „SECRETO” |
| „DEPARTEMENTAAL VERTROUWELIJK” | „RESERVADO” |
| „ULTRASSECRETO” | „Stg. ZEER GEHEIM” |
| „SECRETO” | „Stg. GEHEIM” |
| „RESERVADO” | „Stg. CONFIDENTIEEL” |
Alle gerubriceerde gegevens die uit hoofde van dit Verdrag worden geproduceerd worden voorzien van het overeenkomstige rubriceringsniveau van de partij van herkomst in overeenstemming met de tabel in het eerste lid van dit artikel.
De ontvangende entiteit voorziet alle gerubriceerde gegevens uit hoofde van dit Verdrag die zij ontvangen heeft van de verstrekkende entiteit van het overeenkomstige rubriceringsniveau van de ontvangende entiteit in overeenstemming met de tabel in het eerste lid van dit artikel. Het rubriceringsniveau van de partij van herkomst wordt als eerste weergegeven om het juiste overeenkomstige rubriceringsniveau te bepalen.
De partijen stellen elkaar wederzijds op de hoogte van elke verandering en daaropvolgende aanpassing van het rubriceringsniveau van gerubriceerde gegevens.
De partij van herkomst kan de gerubriceerde gegevens voorzien van vereisten voor de omgang ermee, om eventuele beperkingen te stellen aan het gebruik, de bekendmaking, vrijgave en toegang door de ontvangende entiteit.
De ontvangende entiteit zal het rubriceringsniveau van de uit hoofde van dit Verdrag ontvangen of gegenereerde gerubriceerde gegevens niet veranderen of intrekken zonder de voorafgaande schriftelijke toestemming van de partij van herkomst.
Gerubriceerde gegevens die gezamenlijk worden aangemaakt door de partijen krijgen een rubriceringsniveau dat gezamenlijk wordt bepaald door de partijen.
Artikel V. Beveiliging van gerubriceerde gegevens
De partijen nemen alle passende maatregelen krachtens hun nationale wet- en regelgeving om de beveiliging van gerubriceerde gegevens in overeenstemming met dit Verdrag te waarborgen. Zij kennen aan gerubriceerde gegevens die uit hoofde van dit Verdrag worden uitgewisseld of gegenereerd ten minste dezelfde beveiliging toe als aan hun eigen gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau.
Bij de behandeling van gerubriceerde gegevens die zijn uitgewisseld tussen de partijen worden de bepalingen van dit Verdrag gerespecteerd.
Elke partij waarborgt dat de noodzakelijke maatregelen worden genomen voor de beveiliging van de gerubriceerde gegevens die worden verwerkt, opgeslagen of overgebracht door communicatie- en informatiesystemen, in overeenstemming met het rubriceringsniveau, dit Verdrag en andere nationale wet- en regelgeving.
Elke partij waarborgt de vertrouwelijkheid, integriteit, beschikbaarheid en, waar van toepassing, authenticiteit, verantwoording en traceerbaarheid van gerubriceerde gegevens.
De partijen maken geen gerubriceerde gegevens bekend zonder de voorafgaande schriftelijke toestemming van de partij van herkomst.
Artikel VI. Gebruik van gerubriceerde gegevens
Elke partij waarborgt dat de verstrekkende entiteit:
- a. de gerubriceerde gegevens voorziet van de juiste rubriceringsmarkering in overeenstemming met haar nationale wet- en regelgeving en
- b. de ontvangende entiteit in kennis stelt van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens, zoals bepaald door de partij van herkomst.
Elke partij waarborgt dat de ontvangende entiteit:
- a. hetzelfde beveiligingsniveau aan gerubriceerde gegevens toekent als aan haar nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau als bepaald in artikel IV, eerste lid;
- b. het rubriceringniveau van gegevens niet opheft of naar beneden bijstelt zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
- c. gerubriceerde gegevens niet aan een derde bekendmaakt zonder de voorafgaande schriftelijke toestemming van de partij van herkomst; en
- d. de gerubriceerde gegevens uitsluitend gebruikt voor het doel waarvoor zij zijn vrijgegeven en in overeenstemming met de eisen voor de omgang ermee van de partij van herkomst.
Elke partij respecteert, in overeenkomst met haar constitutionele vereisten en nationale wet- en regelgeving, het beginsel van toestemming van de bron.
Artikel VII. Toegang tot gerubriceerde gegevens
Elke partij waarborgt dat toegang tot gerubriceerde gegevens wordt verleend op een need-to-know-basis.
Elke partij waarborgt dat elke natuurlijke persoon die toegang is verleend tot gerubriceerde gegevens is ingelicht over zijn verantwoordelijkheden inzake de beveiliging van dergelijke gegevens en een geheimhoudingsverklaring heeft ondertekend in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit.
De partijen waarborgen dat toegang tot gerubriceerde gegevens uitsluitend wordt verleend aan de natuurlijke personen die een veiligheidsmachtiging personeel hebben op het overeenkomstige niveau of die gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit.
Artikel VIII. Vertaling, reproductie en vernietiging van gerubriceerde gegevens
Alle vertalingen en reproducties van gerubriceerde gegevens dienen op dezelfde wijze beveiligd en gecontroleerd te worden als de oorspronkelijke gerubriceerde gegevens. Ze krijgen hetzelfde rubriceringsniveau als de oorspronkelijke gerubriceerde gegevens.
Vertalingen van gerubriceerde gegevens worden voorzien van een passende annotatie in de taal waarin zij zijn gesteld met de aanduiding dat zij gerubriceerde gegevens bevatten van de partij van herkomst.
Het aantal reproducties van gerubriceerde gegevens blijft beperkt tot het aantal dat nodig is voor officiële doeleinden.
Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met ULTRASSECRETO / Stg. ZEER GEHEIM, worden niet gereproduceerd of vertaald zonder de voorafgaande schriftelijke toestemming van de partij van herkomst.
Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met ULTRASSECRETO / Stg. ZEER GEHEIM worden niet vernietigd zonder de voorafgaande schriftelijke toestemming van de partij van herkomst. Zij worden geretourneerd aan de partij van herkomst nadat de ontvangende entiteit ze niet meer nodig acht.
Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met SECRETO / Stg. GEHEIM worden vernietigd in overeenstemming met de nationale wet- en regelgeving nadat de ontvangende entiteit ze niet meer nodig acht.
Indien een crisissituatie het de ontvangende entiteit onmogelijk maakt de uit hoofde van dit Verdrag verstrekte gerubriceerde gegevens te beveiligen, dienen de gerubriceerde gegevens onmiddellijk vernietigd te worden. De ontvangende entiteit stelt de bevoegde beveiligingsautoriteit van de partij van herkomst onverwijld in kennis van de vernietiging van deze gerubriceerde gegevens.
Artikel IX. Overbrenging van gerubriceerde gegevens
Gerubriceerde gegevens met het rubriceringsniveau ULTRASSECRETO / Stg. ZEER GEHEIM en SECRETO / Stg. GEHEIM worden tussen de partijen overgebracht langs diplomatieke weg of zoals schriftelijk overeengekomen door hun respectieve bevoegde beveiligingsautoriteiten.
Rubriceringsniveaus die niet in het eerste lid zijn opgenomen worden overgebracht in overeenstemming met de nationale wet- en regelgeving van de partij van herkomst.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.