LegalizeBeveiligingsverdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk Noorwegen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens
Het Koninkrijk der Nederlanden
en
het Koninkrijk Noorwegen,
Hierna gezamenlijk te noemen „de partijen” en elk afzonderlijk „partij”,
Geleid door de wens de wederzijdse beveiliging van gerubriceerde gegevens te waarborgen, in het belang van de nationale veiligheid, komen het volgende overeen:
Artikel 1. Doel
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die uit hoofde van dit Verdrag worden uitgewisseld tussen of gegenereerd door de partijen of tussen of door opdrachtnemers of andere rechtspersonen onder hun rechtsmacht. In het Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.
Artikel 2. Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
- a. „Gerubriceerd contract”, een contract, met inbegrip van eventuele voorafgaande contractonderhandelingen, waarbij voor de uitvoering toegang of mogelijk toegang tot gerubriceerde gegevens vereist is of waarbij deze gecreëerd worden.
- b. „Gerubriceerde gegevens”, gegevens die of materiaal dat door een van de partijen als gerubriceerd worden of wordt aangemerkt, waarvan de ongeoorloofde bekendmaking, verandering, compromitering of het verlies de belangen van een of beide partijen zou kunnen schaden.
- c. „Bevoegde beveiligingsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de implementatie van en toezicht op dit Verdrag. De bevoegde beveiligingsautoriteit kan een deel van zijn verantwoordelijkheden delegeren aan een gemachtigde bevoegde beveiligingsautoriteit.
- d. „Opdrachtnemer”, elke rechtspersoon die bevoegd is contracten aan te gaan.
- e. „Veiligheidsmachtiging bedrijfslocatie”, de vaststelling door de bevoegde beveiligingsautoriteit dat een bedrijfslocatie passende beveiligingsmaatregelen heeft genomen voor de toegang tot en omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- f. „Need to know”, het vereiste voor een natuurlijke persoon of rechtspersoon voor toegang tot, kennis van of bezit van gerubriceerde gegevens voor het uitvoeren van officiële taken of diensten.
- g. „Partij van herkomst”, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd ingevolge dit Verdrag.
- h. „Veiligheidsmachtiging personeel”, de vaststelling door de bevoegde beveiligingsautoriteit dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- i. „Verstrekkende partij”, de partij, met inbegrip van elke opdrachtnemer of andere rechtspersoon onder haar rechtsmacht, die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende partij.
- j. „Ontvangende partij”, de partij, met inbegrip van elke opdrachtnemer of andere rechtspersoon onder haar rechtsmacht, die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt van de verstrekkende partij.
- k. „Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin de van toepassing zijnde rubriceringsniveaus voor elk onderdeel van het contract worden gespecificeerd.
- l. „Beveiligingsincident”, elke bekendmaking, verandering, compromitering of elk verlies van gerubriceerde gegevens in strijd met de nationale wet- en regelgeving en/of dit Verdrag.
- m. „Derde”, elke internationale organisatie of staat, met inbegrip van rechtspersonen of natuurlijke personen onder zijn rechtsmacht, die geen partij is bij dit Verdrag.
Artikel 3. Bevoegde beveiligingsautoriteiten
De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in de Bijlage bij dit Verdrag.
De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens en eventuele daaropvolgende veranderingen daarvan.
Artikel 4. Rubriceringsniveaus
De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in hun nationale wetgeving staan vermeld:
| Voor het Koninkrijk der Nederlanden | Voor het Koninkrijk Noorwegen | Equivalent in het Engels |
|---|---|---|
| Stg. ZEER GEHEIM | STRENGT HEMMELIG | TOP SECRET |
| Stg. GEHEIM | HEMMELIG | SECRET |
| Stg. CONFIDENTIEEL | KONFIDENSIELT | CONFIDENTIAL |
| DEPARTEMENTAAL VERTROUWELIJK | BEGRENSET | RESTRICTED |
De ontvangende partij voorziet alle gerubriceerde gegevens uit hoofde van dit Verdrag die zij ontvangen heeft van de verstrekkende partij van het rubriceringsniveau dat overeenkomt met het door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met de tabel in het eerste lid van dit artikel.
De ontvangende partij zal het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens niet veranderen of intrekken zonder de schriftelijke instemming van de partij van herkomst.
De partij van herkomst waarborgt dat de ontvangende partij op de hoogte wordt gebracht van elke verandering van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.
Artikel 5. Toegang tot gerubriceerde gegevens
Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de nationale wet- en regelgeving.
Toegang tot gerubriceerde gegevens met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” of hoger wordt uitsluitend verleend aan de natuurlijke personen die ook een veiligheidsmachtiging personeel hebben op het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie in overeenstemming met de nationale wet- en regelgeving van de ontvangende partij.
Artikel 6. Beveiligingsmaatregelen
De partijen nemen alle passende maatregelen die krachtens hun nationale wet- en regelgeving van toepassing zijn op de bescherming van uit hoofde van dit Verdrag uitgewisselde of gegenereerde gerubriceerde gegevens.
De verstrekkende partij:
- a. voorziet de gerubriceerde gegevens van de juiste rubriceringsmarkering in overeenstemming met haar nationale wet- en regelgeving;
- b. stelt de ontvangende partij in kennis van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens;
De ontvangende partij:
- a. kent hetzelfde beveiligingsniveau toe aan gerubriceerde gegevens als aan hun nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau;
- b. waarborgt dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
- c. gebruikt de gerubriceerde gegevens uitsluitend voor het doel waarvoor zij zijn verstrekt en in overeenstemming met de eisen voor gebruik van de partij van herkomst.
Artikel 7. Beveiligingssamenwerking
Teneinde vergelijkbare beveiligingsnormen te handhaven, verstrekken de bevoegde beveiligingsautoriteiten elkaar op verzoek informatie over hun beveiligingsvoorschriften, -beleid en -praktijken met betrekking tot de beveiliging van gerubriceerde gegevens.
Op verzoek van de bevoegde beveiligingsautoriteit van de ene partij bevestigt de bevoegde beveiligingsautoriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie is afgegeven.
De bevoegde beveiligingsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met de nationale wet- en regelgeving, bijstand bij het uitvoeren van onderzoeken in verband met de afgifte van een veiligheidsmachtiging bedrijfslocatie of veiligheidsmachtiging personeel.
De bevoegde beveiligingsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen bedrijfslocatie of veiligheidsmachtigingen personeel waarvoor een bevestiging is verstrekt.
Bij de samenwerking uit hoofde van dit Verdrag wordt gebruikgemaakt van de Engelse taal.
Artikel 8. Gerubriceerde contracten
Indien een partij of een opdrachtnemer of andere rechtspersoon onder haar rechtsmacht voorstelt een gerubriceerd contract met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” of hoger, toe te kennen aan een opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de bevoegde beveiligingsautoriteit van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie is toegekend op het vereiste rubriceringsniveau. Een veiligheidsmachtiging bedrijfslocatie op het niveau „RESTRICTED” kan vereist zijn indien dit verplicht wordt gesteld in de nationale wet- en regelgeving.
De bevoegde beveiligingsautoriteit van de partij waar het gerubriceerde contract wordt uitgevoerd waarborgt dat de opdrachtnemer, met inbegrip van de onderaannemer:
- a. waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en de nationale wet- en regelgeving;
- b. de beveiligingsuitvoering op zijn locaties in het oog houdt in overeenstemming met de nationale wet- en regelgeving;
- c. zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elk beveiligingsincident dat betrekking heeft op het gerubriceerd contract.
- d. een juiste veiligheidsmachtiging bedrijfslocatie bezit teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een juiste veiligheidsmachtiging personeel hebben.
Elk gerubriceerd contract, met inbegrip van gerubriceerde onderaannemingscontracten, dat in overeenstemming met dit Verdrag wordt gesloten dient beveiligingsvereisten te bevatten waarin de volgende aspecten vermeld staan:
- a. een rubriceringsgids;
- b. een procedure voor het doorgeven van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 4, derde lid, van dit Verdrag;
- c. de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overdracht van gerubriceerde gegevens;
- d. instructies voor de omgang met en opslag van gerubriceerde gegevens;
- e. contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
- f. de verplichting elk beveiligingsincident te melden.
De bevoegde beveiligingsautoriteit van de partij die de toekenning van het gerubriceerde contract goedkeurt, stuurt een kopie van het hoofdstuk over de beveiligingsvereisten naar de bevoegde beveiligingsautoriteit van de ontvangende partij, om het beveiligingstoezicht op het contract te vergemakkelijken.
Artikel 9. Overbrenging van gerubriceerde gegevens
Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met „TOP SECRET” worden langs diplomatieke weg verzonden. Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met „SECRET” of lager wordt verzonden zoals overeengekomen door de bevoegde beveiligingsautoriteiten.
De partijen kunnen gerubriceerde gegevens die door encryptie beveiligd zijn uitsluitend langs elektronische weg verzenden in overeenstemming met procedures die door beide bevoegde beveiligingsautoriteiten dienen te worden goedgekeurd.
Artikel 10. Reproductie, vertaling en vernietiging van gerubriceerde gegevens
Reproducties en vertalingen van gerubriceerde gegevens krijgen dezelfde rubriceringsmarkering en beveiliging als de oorspronkelijke gerubriceerde gegevens.
Vertalingen of reproducties worden beperkt tot het minimumaantal dat nodig is voor gebruik uit hoofde van dit Verdrag en worden uitsluitend gemaakt door natuurlijke personen die in overeenstemming met artikel 5 van dit Verdrag gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens met het rubriceringsniveau van de gerubriceerde gegevens die vertaald of gereproduceerd worden.
Vertalingen dienen te worden voorzien van een passende annotatie in de taal waarin zij zijn gesteld met de aanduiding dat zij gerubriceerde gegevens bevatten van de verstrekkende partij.
Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met „TOP SECRET” zoals vermeld in artikel 4 van dit Verdrag worden niet vertaald of gereproduceerd zonder voorafgaande schriftelijke toestemming van de partij van herkomst.
Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met „TOP SECRET” zoals vermeld in artikel 4 van dit Verdrag worden niet vernietigd zonder voorafgaande schriftelijke toestemming van de partij van herkomst. Zij worden geretourneerd aan de partij van herkomst nadat de verstrekkende en de ontvangende partij ze niet meer nodig achten.
Gerubriceerde gegevens tot en met rubriceringsniveaus die overeenkomen met „SECRET” zoals vermeld in artikel 4 van dit Verdrag worden vernietigd nadat de ontvangende partij ze niet meer nodig acht, in overeenstemming met haar nationale wet- en regelgeving. Nadat gerubriceerde gegevens met rubriceringsniveau „SECRET” zijn vernietigd overeenkomstig dit lid, wordt een kennisgeving naar de partij van herkomst gezonden.
Indien een crisissituatie het onmogelijk maakt de uit hoofde van dit Verdrag verstrekte gerubriceerde gegevens te beveiligen, dienen de gerubriceerde gegevens onmiddellijk vernietigd te worden. De ontvangende partij stelt de bevoegde beveiligingsautoriteit van de verstrekkende partij onverwijld in kennis van de vernietiging van deze gerubriceerde gegevens.
Gerubriceerde gegevens worden op zodanige wijze vernietigd dat het onmogelijk is deze geheel of deels te herstellen.
Artikel 11. Bezoeken
Bezoeken waarbij toegang tot gerubriceerde gegevens vereist is, dienen vooraf schriftelijk te worden goedgekeurd door de respectieve bevoegde beveiligingsautoriteit, tenzij anderszins overeengekomen door de bevoegde beveiligingsautoriteiten.
De bezoeker dient de aanvraag voor het bezoek ten minste twintig dagen vóór de beoogde datum van het bezoek in bij zijn bevoegde beveiligingsautoriteit, die de aanvraag doorstuurt naar de bevoegde beveiligingsautoriteit van de andere partij. In dringende gevallen kan de aanvraag van een verzoek binnen een kortere termijn worden ingediend, mits hierover voorafgaande coördinatie tussen de bevoegde beveiligingsautoriteiten plaatsvindt.
Een aanvraag voor een bezoek dient de volgende gegevens te bevatten:
- a. volledige naam van de bezoeker, geboortedatum en -plaats, nationaliteit en nummer paspoort/identiteitskaart;
- b. officiële functiebenaming van de bezoeker en de naam van de organisatie die de bezoeker vertegenwoordigt;
- c. bevestiging van de veiligheidsmachtiging personeel van de bezoeker en de geldigheid ervan;
- d. datum en duur van het bezoek. In het geval van herhalingsbezoeken dient de volledige periode waarin de bezoeken plaatsvinden te worden vermeld;
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.