LegalizeVerdrag tussen het Koninkrijk der Nederlanden en Oekraïne inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens (met Bijlage)
Het Koninkrijk der Nederlanden
en
Oekraïne,
Hierna gezamenlijk te noemen „de partijen” en elk afzonderlijk „de partij”,
Geleid door de wens de wederzijdse beveiliging van gerubriceerde gegevens te waarborgen, in het belang van de nationale veiligheid,
Zijn het volgende overeengekomen:
Artikel 1. Doel en reikwijdte
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen of tussen rechtspersonen of natuurlijke personen onder hun rechtsmacht, of die worden gegenereerd in het kader van een bilateraal programma uit hoofde van dit Verdrag. In het Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.
Dit Verdrag vormt geen basis om de partijen ertoe te verplichten gerubriceerde gegevens te verstrekken of uit te wisselen.
Artikel 2. Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
- a. „Inbreuk op de beveiliging”, elk handelen of nalaten te handelen, in strijd met de nationale wet- en regelgeving, dat resulteert in ongeoorloofde toegang tot of bekendmaking, verlies of compromittering van gerubriceerde gegevens.
- b. „Gerubriceerd contract”, een contract, met inbegrip van eventuele voorafgaande contractonderhandelingen, dat een van de partijen aangaat met een opdrachtnemer voor de levering van goederen, uitvoering van werkzaamheden of levering van diensten, waarbij voor de uitvoering toegang of mogelijk toegang tot gerubriceerde gegevens vereist is of waarbij deze gecreëerd worden.
- c. „Gerubriceerde gegevens”, gegevens die of materiaal dat door een van de partijen als gerubriceerd worden of wordt aangemerkt, waarvan de ongeoorloofde bekendmaking of het verlies de belangen van een of beide partijen in meer of mindere mate zou kunnen schaden.
- d. „Bevoegde beveiligingsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de implementatie van en toezicht op dit Verdrag. De bevoegde beveiligingsautoriteit kan een deel van zijn verantwoordelijkheden delegeren aan een gemachtigde bevoegde beveiligingsautoriteit.
- e. „Opdrachtnemer”, elke natuurlijke persoon of rechtspersoon die bevoegd is contracten aan te gaan.
- f. „Veiligheidsmachtiging bedrijfslocatie”, een schriftelijk besluit op basis van een antecedentenonderzoek door de bevoegde beveiligingsautoriteit dat een bedrijfslocatie passende beveiligingsmaatregelen heeft genomen voor de toegang tot en omgang met gerubriceerde gegevens, met inbegrip van een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- g. „Need to know”, het vereiste voor een natuurlijke persoon of rechtspersoon voor toegang tot, kennis van of bezit van gerubriceerde gegevens voor het uitvoeren van officiële taken of diensten.
- h. „Partij van herkomst”, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd.
- i. „Veiligheidsmachtiging personeel”, het schriftelijk besluit op basis van een antecedentenonderzoek door de bevoegde beveiligingsautoriteit van een van de partijen dat een natuurlijke persoon toestemming heeft gekregen voor toegang tot en omgang met gerubriceerde gegevens, met inbegrip van een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- j. „Verstrekkende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende partij.
- k. „Ontvangende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt van de verstrekkende partij.
- l. „Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin de van toepassing zijnde rubriceringsniveaus voor elk onderdeel van het gerubriceerde contract dat gerubriceerde gegevens bevat worden gespecificeerd.
- m. „Derde”, elke internationale organisatie of staat, met inbegrip van rechtspersonen of natuurlijke personen onder zijn rechtsmacht, die geen partij is bij dit Verdrag.
Artikel 3. Bevoegde beveiligingsautoriteiten
De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in Bijlage 1 bij dit Verdrag.
De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens.
Artikel 4. Rubriceringsmarkeringen
De volgende rubriceringsmarkeringen van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in hun nationale wetgeving staan vermeld. Het Engelse equivalent is een niet-officiële vertaling, die geen deel uitmaakt van de nationale wet- en regelgeving van de partijen en niet gebruikt dient te worden om gerubriceerde gegevens aan te duiden.
| Voor Oekraïne | Voor het Koninkrijk der Nederlanden Nederland | Equivalent in het Engels |
|---|---|---|
| Особливої важливості | Stg. ZEER GEHEIM | TOP SECRET |
| Цілком таємно | Stg. GEHEIM | SECRET |
| Таємно | Stg. CONFIDENTIEEL | CONFIDENTIAL |
| Для службового користування | DEPARTEMENTAAL VERTROUWELIJK | RESTRICTED |
De ontvangende partij voorziet alle gerubriceerde gegevens uit hoofde van dit Verdrag die zij ontvangen heeft van de verstrekkende partij van de rubriceringsmarkering in overeenstemming met de tabel in het eerste lid van dit artikel.
De ontvangende partij mag de rubriceringsmarkering van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens uitsluitend veranderen of schrappen na schriftelijke goedkeuring van de verstrekkende partij.
Artikel 5. Toegang tot gerubriceerde gegevens
Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know) en die gemachtigd zijn toegang te hebben tot dergelijke gegevens op grond van de wetgeving van de staat van de ontvangende partij.
Artikel 6. Beveiligingsmaatregelen
De partijen nemen alle passende maatregelen die krachtens hun nationale wet- en regelgeving van toepassing zijn op de uit hoofde van dit Verdrag verstrekte gerubriceerde gegevens.
De verstrekkende partij neemt alle passende maatregelen om te waarborgen dat:
- a. gerubriceerde gegevens worden voorzien van de juiste rubriceringsmarkering in overeenstemming met haar nationale wet- en regelgeving;
- b. de ontvangende partij in kennis wordt gesteld van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens;
- c. de ontvangende partij in kennis wordt gesteld van eventuele navolgende veranderingen van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.
De ontvangende partij neemt alle passende maatregelen om te waarborgen dat:
- a. hetzelfde beveiligingsniveau aan gerubriceerde gegevens wordt toegekend als aan haar nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau;
- b. gerubriceerde informatie wordt voorzien van haar eigen dienovereenkomstige rubriceringsmarkering;
- c. de aan de gerubriceerde gegevens toegekende rubriceringsmarkeringen niet worden veranderd of ingetrokken zonder de voorafgaande schriftelijke toestemming van de verstrekkende partij;
- d. gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de verstrekkende partij;
- e. gerubriceerde gegevens uitsluitend worden gebruikt voor het doel waarvoor zij zijn vrijgegeven en in overeenstemming met de eisen voor gebruik van de partij van herkomst.
Artikel 7. Beveiligingssamenwerking
Teneinde vergelijkbare beveiligingsnormen te handhaven, verstrekken de bevoegde beveiligingsautoriteiten elkaar op verzoek informatie over hun beveiligingsvoorschriften, -beleid en -praktijken met betrekking tot de beveiliging van gerubriceerde gegevens.
Op verzoek van de bevoegde beveiligingsautoriteit van de ene partij bevestigt de bevoegde beveiligingsautoriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie is afgegeven.
De bevoegde beveiligingsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met de nationale wet- en regelgeving, bijstand bij het uitvoeren van onderzoeken in verband met de afgifte van een veiligheidsmachtiging bedrijfslocatie of veiligheidsmachtiging personeel.
De bevoegde beveiligingsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen bedrijfslocatie of veiligheidsmachtigingen personeel waarvoor een bevestiging is verstrekt.
De communicatie in verband met samenwerking uit hoofde van dit Verdrag vindt plaats in de Engelse taal.
Artikel 8. Gerubriceerde contracten
Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract met een veiligheidsmarkering die overeenkomt met „CONFIDENTIAL” en/of „SECRET”, zoals vermeld in artikel 4 van dit Verdrag, te sluiten met een (onder)opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie en/of veiligheidsmachtiging(en) personeel is/zijn toegekend op het juiste rubriceringsniveau. Voor gerubriceerde contracten met het rubriceringsniveau dat overeenkomt met „RESTRICTED” zoals vermeld in artikel 4 van dit Verdrag, kan een veiligheidsmachtiging bedrijfslocatie vereist zijn indien dit verplicht wordt gesteld in de nationale wet- en regelgeving van de opdrachtnemer.
De bevoegde beveiligingsautoriteit onder wier rechtsmacht de opdrachtnemer zijn activiteiten uitvoert, waarborgt dat de opdrachtnemer:
- a. waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en de nationale wet- en regelgeving;
- b. de beveiligingsuitvoering op zijn locaties in het oog houdt;
- c. zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elke inbreuk op de beveiliging die betrekking heeft op een gerubriceerd contract;
- d. in aanvulling op de onderdelen a, b en c, van dit lid, met betrekking tot gerubriceerde contracten met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” en/of „SECRET”, zoals vermeld in artikel 4 van dit Verdrag, een veiligheidsmachtiging bedrijfslocatie heeft met het juiste rubriceringsniveau om de gerubriceerde gegevens te beveiligen;
- e. in aanvulling op de onderdelen a, b en c, van dit lid, met betrekking tot gerubriceerde contracten met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” en/of „SECRET”, zoals vermeld in artikel 4 van dit Verdrag, waarborgt dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel met het juiste rubriceringsniveau hebben.
Elk gerubriceerd contract dat in overeenstemming met dit Verdrag wordt gesloten dient een hoofdstuk met beveiligingsvereisten te bevatten waarin de volgende aspecten vermeld staan:
- a. een rubriceringsgids;
- b. een procedure voor het doorgeven door de partijen bij gerubriceerde contracten van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 4, derde lid, van dit Verdrag;
- c. de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van gerubriceerde gegevens;
- d. instructies voor de omgang met en opslag van gerubriceerde gegevens;
- e. contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
- f. de verplichting elke inbreuk op de beveiliging te melden.
De bevoegde beveiligingsautoriteit van de partij die de toekenning van het gerubriceerde contract goedkeurt, stuurt een kopie van het hoofdstuk over de beveiligingsvereisten naar de bevoegde beveiligingsautoriteit van de ontvangende partij, om het beveiligingstoezicht op het gerubriceerde contract te vergemakkelijken.
Indien een opdrachtnemer delen van een gerubriceerd contract uitbesteedt aan een onderaannemer, waarborgen de opdrachtnemer en de onderaannemer de naleving van dit Verdrag.
De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 11 van dit Verdrag te zijn.
Artikel 9. Overbrenging van gerubriceerde gegevens
Gerubriceerde gegevens worden overgebracht in overeenstemming met de nationale wet- en regelgeving van de verstrekkende partij of zoals anderszins overeengekomen tussen de bevoegde beveiligingsautoriteiten.
De partijen kunnen gerubriceerde gegevens die door encryptie beveiligd zijn langs elektronische weg overbrengen in overeenstemming met procedures die door de bevoegde beveiligingsautoriteiten wederzijds dienen te worden goedgekeurd.
Artikel 10. Reproductie, vertaling en vernietiging van gerubriceerde gegevens
Reproducties en vertalingen van gerubriceerde gegevens krijgen dezelfde rubriceringsmarkering en beveiliging als de oorspronkelijke gerubriceerde gegevens.
Vertalingen of reproducties worden beperkt tot het minimumaantal dat nodig is voor gebruik uit hoofde van dit Verdrag en worden uitsluitend gemaakt door natuurlijke personen die in overeenstemming met de nationale wet- en regelgeving gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens met het rubriceringsniveau van de gerubriceerde gegevens die vertaald of gereproduceerd worden.
Vertalingen dienen te worden voorzien van een passende annotatie in de taal waarin zij zijn gesteld met de aanduiding dat zij gerubriceerde gegevens bevatten van de verstrekkende partij.
Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met „TOP SECRET” zoals vermeld in artikel 4 van dit Verdrag worden niet vertaald of gereproduceerd zonder de voorafgaande schriftelijke toestemming van de verstrekkende partij.
Gerubriceerde gegevens met het rubriceringsniveau dat overeenkomt met „TOP SECRET” zoals vermeld in artikel 4 van dit Verdrag worden niet vernietigd zonder de voorafgaande schriftelijke toestemming van de verstrekkende partij. Zij worden geretourneerd aan de verstrekkende partij nadat de ontvangende partij ze niet meer nodig acht.
Gerubriceerde gegevens tot en met rubriceringsniveaus die overeenkomen met „SECRET” zoals vermeld in artikel 4 van dit Verdrag worden vernietigd nadat de ontvangende partij ze niet meer nodig acht, in overeenstemming met haar nationale wet- en regelgeving.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.