Verdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk Zweden inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens

Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen of tussen rechtspersonen of natuurlijke personen onder hun rechtsmacht, of die worden gegenereerd in het kader van een bilateraal programma uit hoofde van dit Verdrag. In het Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.

Dit Verdrag vormt geen basis om de partijen ertoe te verplichten gerubriceerde gegevens te verstrekken of uit te wisselen.

De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in de Bijlage bij dit Verdrag.

De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens en veranderingen daarvan.

De partijen informeren elkaar langs diplomatieke weg over veranderingen van de bevoegde beveiligingsautoriteiten die een wijziging van de Bijlage noodzakelijk maken.

De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in hun nationale wetgeving staan vermeld:

De ontvangende partij voorziet alle gerubriceerde gegevens uit hoofde van dit Verdrag die zij ontvangen heeft van de verstrekkende partij van het rubriceringsniveau dat overeenkomt met het door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met de tabel in het eerste lid van dit artikel.

De ontvangende partij zal het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens niet veranderen of intrekken zonder de schriftelijke goedkeuring van de partij van herkomst.

Toegang tot gerubriceerde gegevens op het rubriceringsniveaus Stg. CONFIDENTIEEL/KONFIDENTIELL en hoger wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), een veiligheidsmachtiging personeel hebben op het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot dergelijke gegevens in overeenstemming met de nationale wet- en regelgeving, zijn ingelicht over hun verantwoordelijkheden en een geheimhoudingsverklaring hebben ondertekend of wettelijk tot geheimhouding verplicht zijn.

Toegang tot gerubriceerde gegevens op het niveau DEPARTEMENTAAL VERTROUWELIJK/BEGRÄNSAT HEMLIG wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden en een geheimhoudingsverklaring hebben ondertekend of wettelijk tot geheimhouding verplicht zijn.

De partijen nemen alle passende maatregelen die krachtens hun nationale wet- en regelgeving van toepassing zijn op de uit hoofde van dit Verdrag gegenereerde en/of verstrekte gerubriceerde gegevens.

De partijen nemen alle passende maatregelen om te waarborgen dat de verstrekkende partij:

De partijen nemen alle passende maatregelen om te waarborgen dat de ontvangende partij:

Gerubriceerde gegevens die gezamenlijk worden aangemaakt door de partijen krijgen een rubriceringsniveau dat gezamenlijk wordt bepaald door de partijen.

Teneinde vergelijkbare beveiligingsnormen te handhaven, verstrekken de bevoegde beveiligingsautoriteiten elkaar op verzoek informatie over hun beveiligingsvoorschriften, -beleid en -praktijken met het oog op het beveiligen van gerubriceerde gegevens.

Op verzoek van de bevoegde beveiligingsautoriteit van de ene partij bevestigt de bevoegde beveiligingsautoriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie is afgegeven.

De bevoegde beveiligingsautoriteiten van de partijen erkennen de veiligheidsmachtigingen personeel en veiligheidsmachtigingen bedrijfslocatie die overeenkomstig de nationale wet- en regelgeving van de andere partij zijn afgegeven.

De bevoegde beveiligingsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met de nationale wet- en regelgeving, bijstand bij het uitvoeren van onderzoeken in verband met de afgifte van een veiligheidsmachtiging bedrijfslocatie of veiligheidsmachtiging personeel.

De bevoegde beveiligingsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen bedrijfslocatie of veiligheidsmachtigingen personeel waarvoor een bevestiging is verstrekt.

In het geval dat de nationale wet- en regelgeving van de partijen inzake publieke toegang tot documenten of toegang tot informatie met een openbaar karakter van invloed zijn op de gegevens die worden uitgewisseld in het kader van dit Verdrag, stellen de bevoegde beveiligingsautoriteiten elkaar in kennis.

Bij de samenwerking uit hoofde van dit Verdrag wordt gebruikgemaakt van de Engelse taal.

Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract met een rubriceringsniveau dat overeenkomt met „Stg. CONFIDENTIEEL/ KONFIDENTIELL” of hoger, zoals vermeld in artikel 4 van dit Verdrag toe te kennen aan een (onder-)opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie en/of veiligheidsmachtiging personeel is/zijn toegekend op het vereiste rubriceringsniveau. Voor gerubriceerde contracten met het rubriceringsniveau dat overeenkomt met DEPARTEMENTAAL VERTROUWELIJK / BEGRÄNSAT HEMLIG” zoals vermeld in artikel 4 van dit Verdrag, kan een veiligheidsmachtiging bedrijfslocatie vereist zijn indien dit verplicht wordt gesteld in de nationale wet- en regelgeving van de opdrachtnemer.

Voorafgaand aan de toekenning van een gerubriceerd contract waarborgt de bevoegde beveiligingsautoriteit dat de opdrachtnemer:

Een gerubriceerd contract tussen rechtspersonen van de partijen bevat bepalingen inzake beveiligingsvereisten en inzake de rubricering van elk aspect of onderdeel van het gerubriceerd contract. Een kopie van deze bepalingen wordt aan de bevoegde beveiligingsautoriteiten van de partijen gezonden om toezicht op de beveiliging mogelijk te maken. In het gerubriceerd contract dienen verder de verplichting beveiligingsincidenten te melden, een verwijzing naar dit Verdrag en de verplichting om alle bepalingen in dit Verdrag die betrekking hebben op opdrachtnemers ook op onderaannemers toe te passen te zijn opgenomen.

Elke bevoegde beveiligingsautoriteit kan verzoeken dat er een beveiligingscontrole wordt uitgevoerd op een faciliteit onder de rechtsmacht van de andere partij door de bevoegde beveiligingsautoriteit van die partij om de blijvende naleving van de beveiligingsvereisten in overeenkomst met dit Verdrag te waarborgen.

De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 11 van dit Verdrag te zijn.

Indien een opdrachtnemer delen van een gerubriceerd contract uitbesteedt aan een onderaannemer, waarborgen de opdrachtnemer en de onderaannemer de naleving van dit artikel.

Gerubriceerde gegevens worden overgebracht in overeenstemming met de nationale wet- en regelgeving van de verstrekkende partij of zoals anderszins overeengekomen tussen de bevoegde beveiligingsautoriteiten.

De partijen kunnen gerubriceerde gegevens die door encryptie beveiligd zijn langs elektronische weg overbrengen in overeenstemming met procedures die door de bevoegde beveiligingsautoriteiten dienen te worden goedgekeurd.

Reproducties en vertalingen van gerubriceerde gegevens krijgen dezelfde rubriceringsmarkering en beveiliging als de oorspronkelijke gerubriceerde gegevens.

Vertalingen of reproducties worden beperkt tot het minimumaantal dat nodig is voor gebruik uit hoofde van dit Verdrag en worden uitsluitend gemaakt door natuurlijke personen die in overeenstemming met de nationale wet- en regelgeving gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens met het rubriceringsniveau van de gerubriceerde gegevens die vertaald of gereproduceerd worden.

Vertalingen dienen te worden voorzien van een passende annotatie in de taal waarin zij zijn gesteld met de aanduiding dat zij gerubriceerde gegevens bevatten van de partij van herkomst.

Gerubriceerde gegevens op rubriceringsniveau Stg. ZEER GEHEIM/ KVALIFICERAT HEMLIG worden niet vertaald of gereproduceerd zonder de voorafgaande schriftelijke toestemming van de partij van herkomst.

Gerubriceerde gegevens op rubriceringsniveau Stg. ZEER GEHEIM/ KVALIFICERAT HEMLIG worden niet vernietigd zonder de voorafgaande schriftelijke toestemming van de partij van herkomst. Zij worden geretourneerd aan de partij van herkomst nadat de ontvangende partij ze niet meer nodig acht.

Gerubriceerde gegevens tot en met rubriceringsniveau Stg. GEHEIM/HEMLIG worden in overeenstemming met haar nationale wet- en regelgeving vernietigd nadat de ontvangende partij ze niet meer nodig acht.

Indien een crisissituatie het onmogelijk maakt de uit hoofde van dit Verdrag verstrekte gerubriceerde gegevens te beveiligen, dienen de gerubriceerde gegevens onmiddellijk vernietigd te worden. De ontvangende partij stelt de bevoegde beveiligingsautoriteit van de partij van herkomst onverwijld in kennis van de vernietiging van deze gerubriceerde gegevens.