LegalizeVerdrag tussen het Koninkrijk der Nederlanden en de Republiek Letland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens
Het Koninkrijk der Nederlanden
en
de Republiek Letland,
Hierna gezamenlijk te noemen „de partijen” en elk afzonderlijk „de partij”,
Geleid door de wens de wederzijdse beveiliging te waarborgen van gerubriceerde gegevens, in het belang van de nationale veiligheid, komen het volgende overeen:
Artikel 1. Doel
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen of tussen rechtspersonen of natuurlijke personen onder hun rechtsmacht. In het Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.
Artikel 2. Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
- a). „Gerubriceerd contract”, een contract, met inbegrip van eventuele voorafgaande contractonderhandelingen, dat een van de partijen of een opdrachtnemer onder haar rechtsmacht aangaat met een opdrachtnemer onder de rechtsmacht van de andere partij voor de levering van goederen, uitvoering van werkzaamheden of levering van diensten, waarbij voor de uitvoering toegang of mogelijk toegang tot gerubriceerde gegevens vereist is of waarbij deze gecreëerd worden.
- b). „Gerubriceerde gegevens”, gegevens, materiaal of voorwerpen, ongeacht de vorm of aard daarvan, of delen daarvan die of dat door een van de partijen is voorzien van een rubriceringsniveau in overeenstemming met de nationale wet- en regelgeving. De ongeoorloofde bekendmaking, verandering, compromittering of het verlies van dergelijke gegevens zou de belangen van een of beide partijen in meerdere of mindere mate kunnen schaden.
- c). „Bevoegde beveiligingsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de implementatie van en toezicht op dit Verdrag.
- d). „Opdrachtnemer”, elke natuurlijke persoon of rechtspersoon onder de rechtsmacht van een partij die bevoegd is gerubriceerde contracten aan te gaan.
- e). „veiligheidsmachtiging bedrijfslocatie”, de vaststelling door de bevoegde beveiligingsautoriteit dat een bedrijfslocatie passende beveiligingsmaatregelen heeft genomen voor de toegang tot en omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- f). „Need to know”, het vereiste voor een natuurlijke persoon of rechtspersoon voor toegang tot, kennis van of bezit van gerubriceerde gegevens voor het uitvoeren van officiële taken of diensten.
- g). „Partij van herkomst”, de overheidsinstelling in een partij onder wier gezag gerubriceerde gegevens zijn gecreëerd.
- h). „Veiligheidsmachtiging personeel”, de vaststelling door de bevoegde beveiligingsautoriteit dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- i). „Verstrekkende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende partij.
- j). „Ontvangende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt van de verstrekkende partij.
- k). „Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin de van toepassing zijnde rubriceringsniveaus voor elk onderdeel van het gerubriceerde contract dat gerubriceerde gegevens bevat worden gespecificeerd.
- l). „Beveiligingsincident”, elk handelen of nalaten te handelen, in strijd met de nationale wet- en regelgeving, dat resulteert in ongeoorloofde toegang tot of bekendmaking, verlies of compromittering van gerubriceerde gegevens.
- m). „Derde”, elke internationale organisatie, regering of staat, met inbegrip van rechtspersonen of natuurlijke personen onder zijn rechtsmacht, die geen partij is bij dit Verdrag.
Artikel 3. Bevoegde beveiligingsautoriteiten
De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in Bijlage 1 bij dit Verdrag.
De bevoegde beveiligingsautoriteit kan een deel van haar verantwoordelijkheden delegeren aan een gemachtigde bevoegde beveiligingsautoriteit.
De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens.
De partijen stellen elkaar schriftelijk in kennis van eventuele wijzigingen in de contactgegevens van hun respectieve bevoegde beveiligingsautoriteiten.
Artikel 4. Rubriceringsniveaus
De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in hun nationale wetgeving staan vermeld. Het Engelse equivalent is een niet-officiële vertaling, die geen deel uitmaakt van de nationale wet- en regelgeving van de partijen en niet gebruikt dient te worden om gerubriceerde gegevens aan te duiden.
| Voor de Republiek Letland | Voor het Koninkrijk der Nederlanden | Equivalent in het Engels |
|---|---|---|
| SEVIŠĶI SLEPENI | Stg. ZEER GEHEIM | TOP SECRET |
| SLEPENI | Stg. GEHEIM | SECRET |
| KONFIDENCIĀLI | Stg. CONFIDENTIEEL | CONFIDENTIAL |
| DIENESTA VAJADZĪBĀM | DEPARTEMENTAAL VERTROUWELIJK | RESTRICTED |
In overeenstemming met de bepalingen in de nationale wet- en regelgeving voorziet de ontvangende partij alle gerubriceerde gegevens uit hoofde van dit Verdrag die zij ontvangen heeft van de verstrekkende partij van het rubriceringsniveau dat overeenkomt met het door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met de tabel in het eerste lid van dit artikel.
De ontvangende partij mag het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens uitsluitend veranderen of intrekken na de schriftelijke toestemming door de partij van herkomst.
Artikel 5. Toegang tot gerubriceerde gegevens
Toegang tot gerubriceerde gegevens op het niveau KONFIDENCIĀLI / Stg. CONFIDENTIEEL of hoger wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), een veiligheidsmachtiging personeel of een nationaal equivalent daarvan op het overeenkomstige niveau hebben, zijn ingelicht over hun verantwoordelijkheden en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de nationale wet- en regelgeving.
Toegang op het niveau DIENESTA VAJADZĪBĀM / DEPARTEMENTAAL VERTROUWELIJK wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de nationale wet- en regelgeving.
Artikel 6. Beveiligingsmaatregelen
De partijen nemen alle passende maatregelen die krachtens hun nationale wet- en regelgeving van toepassing zijn op de uit hoofde van dit Verdrag gegenereerde of verstrekte gerubriceerde gegevens.
De partijen nemen alle passende maatregelen om te waarborgen dat de verstrekkende partij:
- a). de gerubriceerde gegevens voorziet van de juiste rubriceringsmarkering in overeenstemming met haar nationale wet- en regelgeving;
- b). de ontvangende partij in kennis stelt van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens;
- c). de ontvangende partij in kennis stelt van eventuele navolgende veranderingen van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.
De partijen nemen alle passende maatregelen om te waarborgen dat de ontvangende partij:
- a). hetzelfde beveiligingsniveau aan gerubriceerde gegevens toekent als aan haar nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau;
- b). waarborgt dat gerubriceerde gegevens worden voorzien van haar eigen dienovereenkomstige rubriceringsniveau indien deze rubricering in overeenstemming is met haar nationale wet- en regelgeving;
- c). waarborgt dat de aan de gerubriceerde gegevens toegekende rubriceringsniveaus niet worden veranderd of ingetrokken zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
- d). waarborgt dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
- e). de gerubriceerde gegevens uitsluitend gebruikt voor het doel waarvoor zij zijn vrijgegeven en in overeenstemming met de eisen voor gebruik van de partij van herkomst.
Artikel 7. Beveiligingssamenwerking
Teneinde vergelijkbare beveiligingsnormen te handhaven, verstrekken de bevoegde beveiligingsautoriteiten elkaar op verzoek informatie over hun beveiligingsvoorschriften, -beleid en -praktijken met betrekking tot de beveiliging van gerubriceerde gegevens.
Op verzoek van de bevoegde beveiligingsautoriteit van de ene partij bevestigt de bevoegde beveiligingsautoriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie is afgegeven.
Indien een onderdaan van een partij een veiligheidsmachtiging personeel nodig heeft, kan de bevoegde beveiligingsautoriteit van de andere partij een verzoek om afgifte van een veiligheidsmachtiging personeel sturen naar de bevoegde beveiligingsautoriteit van de partij waarvan hij of zij onderdaan is, in overeenstemming met de nationale wet- en regelgeving.
Indien een opdrachtnemer onder de rechtsmacht van een partij een veiligheidsmachtiging bedrijfslocatie nodig heeft, kan de bevoegde beveiligingsautoriteit van de andere partij een verzoek om afgifte van een veiligheidsmachtiging bedrijfslocatie sturen naar de bevoegde beveiligingsautoriteit van de opdrachtnemer, in overeenstemming met de nationale wet- en regelgeving.
De bevoegde beveiligingsautoriteiten voeren antecedentenonderzoeken op hun onderdanen uit en geven veiligheidsmachtigingen personeel af of verstrekken informatie over de resultaten van het antecedentenonderzoek en veiligheidsmachtigingen bedrijfslocaties voor rechtspersonen onder hun rechtsmacht in overeenstemming met de nationale wet- en regelgeving.
De bevoegde beveiligingsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met de nationale wet- en regelgeving, bijstand bij het uitvoeren van (antecedenten)onderzoeken in verband met de afgifte van een veiligheidsmachtiging bedrijfslocatie of veiligheidsmachtiging personeel.
De bevoegde beveiligingsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen personeel of veiligheidsmachtigingen bedrijfslocatie waarvoor een bevestiging is verstrekt.
Bij de samenwerking uit hoofde van dit Verdrag wordt gebruikgemaakt van de Engelse taal.
Artikel 8. Gerubriceerde contracten
Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract op het rubriceringsniveau KONFIDENCIĀLI / Stg. CONFIDENTIEEL of hoger te gunnen aan een opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie of veiligheidsmachtiging(en) personeel is/zijn toegekend op het juiste rubriceringsniveau. Voor gerubriceerde contracten met het rubriceringsniveau DIENESTA VAJADZĪBĀM / DEPARTEMENTAAL VERTROUWELIJK zoals vermeld in artikel 4 van dit Verdrag, kan een veiligheidsmachtiging bedrijfslocatie nodig zijn indien dit verplicht is volgens de nationale wet- en regelgeving.
De bevoegde beveiligingsautoriteit waarborgt dat de opdrachtnemer:
- a). waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en de nationale wet- en regelgeving;
- b). de beveiligingsuitvoering op zijn locaties in het oog houdt;
- c). zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elk beveiligingsincident dat betrekking heeft op het gerubriceerd contract.
- d). Voor gerubriceerde contracten op het niveau KONFIDENCIĀLI / Stg. CONFIDENTIEEL of hoger, waarborgt de bevoegde beveiligingsautoriteit dat de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie bezit met het juiste rubriceringsniveau teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel met het juiste rubriceringsniveau hebben.
Elk gerubriceerd contract dat in overeenstemming met dit Verdrag wordt gesloten dient een hoofdstuk met beveiligingsvereisten te bevatten waarin ten minste de volgende aspecten vermeld staan:
- a). een verwijzing naar dit Verdrag, de omschrijving van het begrip „gerubriceerde gegevens” in overeenstemming met artikel 2 van dit Verdrag en de tabel met de equivalente rubriceringsniveaus van de partijen in overeenstemming met de bepalingen van artikel 4 van dit Verdrag;
- b). een verklaring dat de gerubriceerde gegevens die zijn gegenereerd of verstrekt in het kader van een gerubriceerd contract beschermd zijn in overeenstemming met de nationale wet- en regelgeving;
- c). een verklaring dat de opdrachtnemer de gerubriceerde gegevens alleen bekend maakt aan natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know) en, in het geval van gerubriceerde gegevens op het niveau KONFIDENCIĀLI / Stg. CONFIDENTIEEL of hoger, een veiligheidsmachtiging personeel bezitten met het juiste rubriceringsniveau in overeenstemming met de bepalingen gespecificeerd in artikel 5 van dit Verdrag en zijn aangewezen om officieel taken of diensten te verrichten in relatie tot het gerubriceerde contract;
- d). een verklaring dat de opdrachtnemer geen gerubriceerde gegevens bekendmaakt of de bekendmaking daarvan toestaat aan een derde partij of enige andere partij die geen onderdeel is van het gerubriceerde contract zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
- e). een verklaring dat gerubriceerde gegevens die zijn verstrekt uit hoofde van het gerubriceerde contract uitsluitend worden gebruikt voor het doel waarvoor zij zijn verstrekt, of zoals verder schriftelijk uitdrukkelijk toegestaan door de partij van herkomst;
- f). een rubriceringsgids;
- g). een procedure voor het doorgeven van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 4, derde lid, van dit Verdrag;
- h). de kanalen en procedures die gebruikt dienen te worden voor het vervoer, de overdracht of de overbrenging van gerubriceerde gegevens;
- i). een verklaring dat de gerubriceerde gegevens worden opgeslagen en verwerkt op locaties en in gerubriceerde informatiesystemen die zijn geaccrediteerd voor de opslag en de verwerking van gerubriceerde gegevens op het rubriceringsniveau dat is voorzien in het specifieke gerubriceerde contract. Deze verklaring staat los van de procedure voor het verkrijgen van een bevestiging met betrekking tot de toekenning van een veiligheidsmachtiging bedrijfslocatie zoals voorzien in het eerste lid van dit artikel;
- j). contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
- k). de verplichting elk beveiligingsincident te melden.
De bevoegde beveiligingsautoriteit van de partij die de toekenning van het gerubriceerde contract goedkeurt, stuurt een kopie van het hoofdstuk over de beveiligingsvereisten naar de bevoegde beveiligingsautoriteit van de ontvangende partij, om het beveiligingstoezicht op het contract te vergemakkelijken.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.