LegalizeVerdrag tussen het Koninkrijk der Nederlanden en de Slowaakse Republiek inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens
Het Koninkrijk der Nederlanden
en
de Slowaakse Republiek,
Hierna gezamenlijk te noemen „partijen” en elk afzonderlijk „partij”,
Geleid door de wens de wederzijdse beveiliging van gerubriceerde gegevens te waarborgen, in het belang van de nationale veiligheid, zijn het volgende overeengekomen:
Artikel 1. Doel en reikwijdte
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen of tussen opdrachtnemers onder hun rechtsmacht, of die worden gegenereerd (in het kader van een bilateraal programma) uit hoofde van dit Verdrag. In het Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.
De partijen nemen alle passende maatregelen krachtens hun nationale wet- en regelgeving om de beveiliging van gerubriceerde gegevens in overeenstemming met dit Verdrag te waarborgen.
Dit Verdrag vormt geen basis om de partijen ertoe te verplichten gerubriceerde gegevens te verstrekken of uit te wisselen.
Artikel 2. Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
- a. „Verdrag”, dit document met inbegrip van de Bijlagen daarbij.
- b. „Bijlage”, een bijlage bij dit document.
- c. „Gerubriceerd contract”, elke wettelijk afdwingbare overeenkomst voor het leveren van goederen of diensten die een van de partijen of een opdrachtnemer onder haar rechtsmacht aangaat met een opdrachtnemer onder de rechtsmacht van de andere partij, die gerubriceerde gegevens bevat of waarbij voor de uitvoering toegang of mogelijk toegang vereist is tot het genereren, gebruiken of overdragen van gerubriceerde gegevens.
- d. „Gerubriceerde gegevens”, gegevens, materiaal of voorwerpen, ongeacht de vorm of aard daarvan, of delen daarvan, die door een van de partijen als gerubriceerd worden aangemerkt, waarvan de ongeoorloofde bekendmaking, verandering, compromittering of elk verlies de belangen van een of beide partijen in meer of mindere mate zou kunnen schaden.
- e. „Bevoegde beveiligingsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de implementatie van en toezicht op dit Verdrag. De bevoegde beveiligingsautoriteit kan een deel van zijn verantwoordelijkheden delegeren aan een gemachtigde bevoegde beveiligingsautoriteit.
- f. „Opdrachtnemer”, elke persoon (anders dan degenen die door een partij in dienst zijn genomen op grond van een contract of arbeidsovereenkomst), rechtspersoon of andere vorm van organisatie onder de rechtsmacht van een partij, die een gerubriceerd contract aangaat of er door gebonden is.
- g. „Veiligheidsmachtiging bedrijfslocatie”, de vaststelling door de bevoegde beveiligingsautoriteit dat een bedrijfslocatie passende veiligheidsmaatregelen heeft genomen voor de toegang tot en omgang met gerubriceerde gegevens, tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- h. „Need to know”, het vereiste voor een natuurlijke persoon, rechtspersoon of andere organisatievorm, voor toegang tot, kennis van of bezit van gerubriceerde gegevens voor het uitvoeren van hun officiële taken of diensten.
- i. „Partij van herkomst”, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd.
- j. „Veiligheidsmachtiging personeel”, de vaststelling door de bevoegde beveiligingsautoriteit dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens, met inbegrip van een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- k. „Verstrekkende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende partij.
- l. „Ontvangende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt van de verstrekkende partij.
- m. „Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin de van toepassing zijnde rubriceringsniveaus voor elk onderdeel van dat gerubriceerde contract worden gespecificeerd.
- n. „Beveiligingsincident”, elke ongeoorloofde bekendmaking, verandering, compromittering, elk verlies, elke toegang, omgang met, elke opslag of vernietiging van gerubriceerde gegevens, in strijd met de nationale wet- en regelgeving van de ontvangende partij en/of dit Verdrag.
- o. „Derde”, elke internationale organisatie, regering of staat, met inbegrip van natuurlijke personen, rechtspersonen of andere organisatievormen onder zijn rechtsmacht die geen partij is bij dit Verdrag.
Artikel 3. Bevoegde beveiligingsautoriteiten
De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in Bijlage 1 bij dit Verdrag.
De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens.
De partijen informeren elkaar langs diplomatieke weg over veranderingen in de contactgegevens van de bevoegde beveiligingsautoriteiten bedoeld in het eerste lid.
Artikel 4. Rubriceringsniveaus
De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in de nationale wet- en regelgeving van de partijen staan. Het Engelse equivalent is een niet-officiële vertaling, die geen deel uitmaakt van de nationale wet- en regelgeving van de partijen en niet gebruikt dient te worden om gerubriceerde gegevens aan te duiden.
| Voor het Koninkrijk der Nederlanden | Voor de Slowaakse Republiek | Equivalent in het Engels |
|---|---|---|
| Stg. ZEER GEHEIM | PRÍSNE TAJNÉ | TOP SECRET |
| Stg. GEHEIM | TAJNÉ | SECRET |
| Stg. CONFIDENTIEEL | DÔVERNÉ | CONFIDENTIAL |
| DEPARTEMENTAAL VERTROUWELIJK | VYHRADENÉ | RESTRICTED |
Artikel 5. Beveiligingsmaatregelen
De ontvangende partij voorziet alle gerubriceerde gegevens die zij ontvangen heeft van de verstrekkende partij of heeft gegenereerd uit hoofde van dit Verdrag van het rubriceringsniveau dat overeenkomt met de door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met de tabel in artikel 4 en, indien van toepassing, in overeenstemming met het vierde lid van dit artikel.
De ontvangende partij zal het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen of gegenereerde gerubriceerde gegevens niet veranderen of intrekken zonder de schriftelijke goedkeuring van de partij van herkomst.
De partij van herkomst waarborgt dat de ontvangende partij op de hoogte wordt gebracht van elke verandering van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.
De partij van herkomst kan de gerubriceerde gegevens tevens voorzien van vereisten voor de omgang ermee, om eventuele beperkingen te stellen aan het gebruik, de bekendmaking, vrijgave en toegang door de ontvangende partij.
Gerubriceerde gegevens die gezamenlijk worden aangemaakt door de partijen krijgen een rubriceringsniveau dat gezamenlijk wordt bepaald door de partijen.
De partijen kennen aan gerubriceerde gegevens die uit hoofde van dit Verdrag worden uitgewisseld of gegenereerd ten minste dezelfde beveiliging toe als aan hun eigen gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau.
Overeenkomstig het tweede lid van artikel 1 van dit Verdrag, nemen de partijen alle passende maatregelen om te waarborgen dat de verstrekkende partij:
- a. de gerubriceerde gegevens voorziet van de juiste rubriceringsmarkering in overeenstemming met haar nationale wet- en regelgeving;
- b. de ontvangende partij in kennis stelt van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens.
Overeenkomstig het tweede lid van artikel 1 van dit Verdrag, nemen de partijen alle passende maatregelen om te waarborgen dat de ontvangende partij:
- a. hetzelfde beveiligingsniveau aan gerubriceerde gegevens toekent als aan haar nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau;
- b. waarborgt dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst, indien dit noodzakelijk wordt geacht, over de voorwaarden;
- c. de gerubriceerde gegevens uitsluitend gebruikt voor het doel waarvoor zij zijn vrijgegeven en in overeenstemming met de eisen voor gebruik van de partij van herkomst.
Artikel 6. Toegang tot gerubriceerde gegevens
Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden voor de beveiliging van gerubriceerde gegevens en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de nationale wet- en regelgeving van de ontvangende partij.
In aanvulling van de vereisten in het eerste lid van dit artikel, wordt toegang tot gerubriceerde gegevens met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” of hoger zoals vermeld in artikel 4 van dit Verdrag, uitsluitend verleend aan de natuurlijke personen die ook een veiligheidsmachtiging personeel hebben op het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie, in overeenstemming met de nationale wet- en regelgeving van de ontvangende partij.
Artikel 7. Gerubriceerde contracten
Op verzoek van de partij van herkomst deelt de bevoegde beveiligingsautoriteit van de ontvangende partij de bevoegde beveiligingsautoriteit van de partij van herkomst mee of een opdrachtnemer, die valt onder de rechtsmacht van de ontvangende partij en die deelneemt aan een gerubriceerd contract of precontractuele onderhandelingen over een gerubriceerd contract, een passende veiligheidsmachtiging bedrijfslocatie heeft gekregen die overeenstemt met het vereiste rubriceringsniveau. Indien de opdrachtnemer op dat moment niet over een veiligheidsmachtiging bedrijfslocatie beschikt, of indien de veiligheidsmachtiging bedrijfslocatie van een lager niveau is dan vereist, zal de bevoegde beveiligingsautoriteit die het verzoek ontvangt de verzoekende bevoegde beveiligingsautoriteit hiervan op de hoogte brengen.
Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” of hoger, zoals vermeld in artikel 4 van dit Verdrag, toe te kennen aan een (onder)opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de bevoegde beveiligingsautoriteit van de andere partij dat aan de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie is toegekend op het juiste rubriceringsniveau. Voor gerubriceerde contracten met het rubriceringsniveau dat overeenkomt met „RESTRICTED” zoals vermeld in artikel 4 van dit Verdrag, kan een veiligheidsmachtiging bedrijfslocatie vereist zijn indien dit verplicht wordt gesteld in de nationale wet- en regelgeving van de opdrachtnemer.
Overeenkomstig het tweede lid van artikel 1 van dit Verdrag, waarborgt de partij in wiens rechtsgebied het gerubriceerde contract wordt uitgevoerd dat de opdrachtnemer:
- a. alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en in overeenstemming met hun nationale wet- en regelgeving;
- b. de beveiligingsuitvoering op zijn locaties in het oog houdt;
- c. zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elk beveiligingsincident dat betrekking heeft op het gerubriceerd contract.
In aanvulling op de onderdelen a, b en c, van het derde lid van artikel 7 van dit Verdrag, met betrekking tot gerubriceerde contracten met rubriceringsniveaus die overeenkomen met „CONFIDENTIAL” of hoger, zoals vermeld in artikel 4 van dit Verdrag, waarborgt de bevoegde beveiligingsautoriteit dat de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie bezit met het juiste rubriceringsniveau teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel met het juiste rubriceringsniveau hebben.
Elk gerubriceerd contract dient beveiligingsvereisten te bevatten waarin de volgende aspecten vermeld staan:
- a. een rubriceringsgids;
- b. een procedure voor het doorgeven van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 5, derde lid, van dit Verdrag;
- c. de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van gerubriceerde gegevens;
- d. instructies voor de omgang met, opslag, vernietiging en retourneren van gerubriceerde gegevens;
- e. contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
- f. de verplichting elk beveiligingsincident te melden bij de bevoegde beveiligingsautoriteit van de opdrachtnemer en de verplichting voor opdrachtnemers om alle redelijke maatregelen te nemen om het gevolg van een dergelijke inbreuk op de beveiliging te verminderen, in overleg met de bevoegde beveiligingsautoriteit;
- g. wanneer een gerubriceerd contract geheel of gedeeltelijk wordt uitbesteed aan een onderaannemer, de verplichting om alle bepalingen betreffende onderaannemers in dit Verdrag op te leggen aan de onderaannemer;
- h. een verwijzing naar dit Verdrag;
- i. een verklaring dat gerubriceerde gegevens die in het kader van het gerubriceerde contract worden uitgewisseld of gegenereerd, door de opdrachtnemer worden beschermd in overeenstemming met dit Verdrag en de toepasselijke wet- en regelgeving.
De bevoegde beveiligingsautoriteit van de partij of een opdrachtnemer onder haar rechtsmacht die de toekenning van het gerubriceerde contract goedkeurt, stuurt een kopie van de beveiligingsvereisten naar de bevoegde beveiligingsautoriteit van de ontvangende partij, om het beveiligingstoezicht op het gerubriceerde contract te vergemakkelijken.
De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 8 van dit Verdrag te zijn.
Artikel 8. Bezoeken
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.