LegalizeVerdrag tussen het Koninkrijk der Nederlanden en de Republiek Bulgarije inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens
Het Koninkrijk der Nederlanden
en
de Republiek Bulgarije,
Hierna gezamenlijk te noemen „de partijen” en elk afzonderlijk „partij”,
Geleid door de wens de wederzijdse beveiliging van gerubriceerde gegevens te waarborgen, in het belang van de nationale veiligheid, zijn het volgende overeengekomen:
Artikel 1. Doel en reikwijdte
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen, tussen een partij en een opdrachtnemer onder de rechtsmacht van de andere partij, of tussen opdrachtnemers onder de onderscheiden rechtsmacht van de respectieve partijen, of die worden gegenereerd in het kader van dit Verdrag. In dit Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.
De partijen nemen alle passende maatregelen krachtens hun nationale wet- en regelgeving om de beveiliging van gerubriceerde gegevens in overeenstemming met dit Verdrag te waarborgen.
Dit Verdrag vormt geen basis om de partijen ertoe te verplichten gerubriceerde gegevens te verstrekken of uit te wisselen.
Artikel 2. Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
- a. „Verdrag”, dit document met inbegrip van de Bijlage daarbij.
- b. „Gerubriceerd contract”, elke wettelijk afdwingbare overeenkomst voor het leveren van goederen of diensten die een van de partijen of een opdrachtnemer onder haar rechtsmacht aangaat met een opdrachtnemer onder de rechtsmacht van de andere partij, die gerubriceerde gegevens bevat of waarbij voor de uitvoering toegang of mogelijk toegang vereist is tot gerubriceerde gegevens. Dit omvat tevens precontractuele activiteiten.
- c. „Gerubriceerde gegevens”, gegevens, materiaal of voorwerpen, ongeacht de vorm of aard daarvan, of delen daarvan die of dat door een van de partijen is voorzien van een rubriceringsniveau of van een rubriceringsniveau dat gezamenlijk wordt bepaald door beide partijen in overeenstemming met dit Verdrag, waarvan de ongeoorloofde bekendmaking, verandering, compromittering of het verlies de belangen van een of beide partijen in meerdere of mindere mate zou kunnen schaden.
- d. „Bevoegde beveiligingsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de implementatie van en toezicht op dit Verdrag. De bevoegde beveiligingsautoriteit kan een deel van haar verantwoordelijkheden delegeren aan een gemachtigde bevoegde beveiligingsautoriteit in overeenstemming met de nationale wet- en regelgeving.
- e. „Opdrachtnemer”, elke persoon (anders dan degenen die door een partij in dienst zijn genomen op grond van een arbeidsovereenkomst) of rechtspersoon (met inbegrip van een onderopdrachtnemer) onder de rechtsmacht van een partij, die een gerubriceerd contract aangaat of er door gebonden is.
- f. „Veiligheidsmachtiging bedrijfslocatie”, de vaststelling door de bevoegde beveiligingsautoriteit dat een bedrijfslocatie passende veiligheidsmaatregelen heeft genomen voor de toegang tot, omgang met en/of opslag van gerubriceerde gegevens, tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- g. „Need to know”, het vereiste voor een natuurlijke persoon, rechtspersoon of andere organisatievorm voor toegang tot, kennis van of bezit van gerubriceerde gegevens voor het uitvoeren van hun officiële werkzaamheden of van een specifieke taak.
- h. „Partij van herkomst”, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd.
- i. „Veiligheidsmachtiging personeel”, de vaststelling door de bevoegde beveiligingsautoriteit dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- j. „Verstrekkende entiteit”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende entiteit.
- k. „Ontvangende entiteit”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt van de verstrekkende entiteit.
- l. „Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin de van toepassing zijnde rubriceringsniveaus voor elk onderdeel van dat gerubriceerd contract worden gespecificeerd.
- m. „Rubriceringsniveau”, de categorie die, in overeenstemming met de nationale wet- en regelgeving, het belang aanduidt van de gerubriceerde gegevens.
- n. „Beveiligingsincident”, elk(e) ongeoorloofd(e) bekendmaking, verandering, compromittering, verlies, opslag of vernietiging van gerubriceerde gegevens in strijd met de nationale wet- en regelgeving van de ontvangende entiteit en/of dit Verdrag.
- o. „Derde”, elke internationale organisatie, regering of staat, met inbegrip van natuurlijke personen, rechtspersonen of andere organisatievormen onder zijn rechtsmacht die geen partij is bij dit Verdrag.
Artikel 3. Bevoegde beveiligingsautoriteiten
De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in de Bijlage bij dit Verdrag.
De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens en veranderingen daarvan.
Artikel 4. Rubriceringsniveaus
De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in de nationale wet- en regelgeving van de partijen staan. Het Engelse equivalent maakt geen deel uit van de nationale wet- en regelgeving van de partijen en is derhalve niet juridisch bindend en dient niet gebruikt te worden om gerubriceerde gegevens aan te duiden.
| Voor de Republiek Bulgarije | Voor het Koninkrijk der Nederlanden | Engelse vertaling |
|---|---|---|
| ЗА СЛУЖЕБНО ПОЛЗВАНЕ | DEPARTEMENTAAL VERTROUWELIJK | RESTRICTED |
| ПОВЕРИТЕЛНО | Stg. CONFIDENTIEEL | CONFIDENTIAL |
| СЕКРЕТНО | Stg. GEHEIM | SECRET |
| СТРОГО СЕКРЕТНО | Stg. ZEER GEHEIM | TOP SECRET |
Artikel 5. Beveiligingsmaatregelen
De ontvangende entiteit voorziet alle gerubriceerde gegevens die zij ontvangen heeft van de verstrekkende entiteit, van het rubriceringsniveau van de ontvangende entiteit dat overeenkomt met het door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met de tabel in artikel 4 en, in voorkomend geval, in overeenstemming met het vierde lid van dit artikel. De ontvangende entiteit voegt haar markering toe aan het rubriceringsniveau van de verstrekkende entiteit zodanig dat het altijd duidelijk is wie de partij van herkomst is.
De ontvangende entiteit zal het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens niet veranderen of intrekken zonder de schriftelijke goedkeuring van de partij van herkomst.
De partij van herkomst waarborgt dat de ontvangende entiteit op de hoogte wordt gebracht van elke verandering van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.
De partij van herkomst kan de gerubriceerde gegevens tevens voorzien van vereisten voor de omgang ermee, om eventuele beperkingen te stellen aan het gebruik, de bekendmaking, vrijgave en toegang door de ontvangende entiteit. Deze aanvullende markeringen dienen in het Engels te worden vertaald.
Gerubriceerde gegevens die gezamenlijk worden aangemaakt door de partijen krijgen een rubriceringsniveau toegekend dat gezamenlijk wordt overeengekomen door de partijen.
De partijen kennen aan gerubriceerde gegevens die uit hoofde van dit Verdrag worden uitgewisseld of gegenereerd ten minste dezelfde beveiliging toe als aan hun nationale gerubriceerde gegevens met een overeenkomstig rubriceringsniveau.
Overeenkomstig het tweede lid van artikel 1 van dit Verdrag nemen de partijen alle passende maatregelen om te waarborgen dat de verstrekkende entiteit:
- a. de gerubriceerde gegevens voorziet van het juiste rubriceringsniveau in overeenstemming met haar nationale wet- en regelgeving;
- b. de ontvangende entiteit in kennis stelt van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens.
In overeenstemming met artikel 1, tweede lid, van dit Verdrag nemen de partijen alle passende maatregelen om te waarborgen dat de verstrekkende entiteit:
- a. hetzelfde beveiligingsniveau toekent aan gerubriceerde gegevens als aan hun nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau;
- b. waarborgt dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
- c. de gerubriceerde gegevens uitsluitend gebruikt voor het doel waarvoor zij zijn vrijgegeven en in overeenstemming met de eisen voor gebruik van de partij van herkomst.
Artikel 6. Toegang tot gerubriceerde gegevens
Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden voor de beveiliging van gerubriceerde gegevens en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit.
In aanvulling op de vereisten van het eerste lid van dit artikel wordt toegang tot gerubriceerde gegevens met het rubriceringsniveau “ПОВЕРИТЕЛНО/Stg. CONFIDENTIEEL” en hoger uitsluitend verleend aan de natuurlijke personen die een veiligheidsmachtiging personeel hebben op ten minste het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie, in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit.
Artikel 7. Gerubriceerde contracten
Op verzoek van de partij van herkomst deelt de bevoegde beveiligingsautoriteit van de ontvangende entiteit aan de bevoegde beveiligingsautoriteit van de partij van herkomst mee of een opdrachtnemer die onder haar rechtsmacht valt en deelneemt aan een gerubriceerd contract of precontractuele onderhandelingen inzake een gerubriceerd contract, een veiligheidsmachtiging bedrijfslocatie heeft gekregen op het vereiste rubriceringsniveau. Indien de opdrachtnemer niet, op dat moment, over een veiligheidsmachtiging bedrijfslocatie beschikt, of de veiligheidsmachtiging bedrijfslocatie van een lager niveau is dan vereist, stelt de bevoegde beveiligingsautoriteit die het verzoek ontvangt de verzoekende bevoegde beveiligingsautoriteit van dat feit op de hoogte.
Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract met het rubriceringsniveau “ПОВЕРИТЕЛНО/ Stg. CONFIDENTIEEL” of hoger te gunnen aan een opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de bevoegde beveiligingsautoriteit van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie is toegekend met het vereiste rubriceringsniveau. Voor gerubriceerde contracten met het rubriceringsniveau “ЗА СЛУЖЕБНО ПОЛЗВАНЕ/ DEPARTEMENTAAL VERTROUWELIJK” kan een veiligheidsmachtiging bedrijfslocatie vereist zijn indien dit verplicht wordt gesteld in de nationale wet- en regelgeving van de partij onder wier rechtsmacht de opdrachtnemer zijn activiteiten uitvoert.
In overeenstemming met artikel 1, tweede lid, van dit Verdrag waarborgt de partij onder wier rechtsmacht het gerubriceerde contract dient te worden uitgevoerd dat de opdrachtnemer:
- a. waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en met hun nationale wet- en regelgeving;
- b. de beveiligingsuitvoering op zijn locaties in het oog houdt;
- c. zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elk beveiligingsincident dat betrekking heeft op het gerubriceerd contract.
In aanvulling op de vereisten van het derde lid van dit artikel, met betrekking tot gerubriceerde contracten met het rubriceringsniveaus “ПОВЕРИТЕЛНО/Stg. CONFIDENTIEEL of hoger, waarborgt de bevoegde beveiligingsautoriteit dat de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie bezit met het overeenkomstige rubriceringsniveau teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel met het overeenkomstige rubriceringsniveau hebben.
Elk gerubriceerd contract dient beveiligingsvereisten te bevatten waarin de volgende aspecten vermeld staan:
- a. een rubriceringsgids;
- b. een procedure voor het doorgeven van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 5, derde lid, van dit Verdrag;
- c. de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van gerubriceerde gegevens;
- d. instructies voor de omgang met, opslag, vernietiging en retourneren van gerubriceerde gegevens;
- e. contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
- f. de verplichting elk beveiligingsincident te melden bij de bevoegde beveiligingsautoriteit van de opdrachtnemer en de verplichting voor opdrachtnemers om alle redelijke maatregelen te nemen om het gevolg van een dergelijke inbreuk op de beveiliging te verminderen, in overleg met de bevoegde beveiligingsautoriteit;
- g. wanneer een gerubriceerd contract geheel of gedeeltelijk wordt uitbesteed aan een onderaannemer, de verplichting om alle bepalingen betreffende onderaannemers in dit Verdrag op te leggen aan de onderaannemer;
- h. een verwijzing naar dit Verdrag;
- i. een verklaring dat gerubriceerde gegevens die in het kader van het gerubriceerde contract worden uitgewisseld of gegenereerd, door de opdrachtnemer worden beschermd in overeenstemming met dit Verdrag en de toepasselijke wet- en regelgeving.
Indien een gerubriceerd contract wordt toegekend, zal de partij of een opdrachtnemer onder haar rechtsmacht, via haar bevoegde beveiligingsautoriteit een kopie sturen van de beveiligingsvereisten naar de bevoegde beveiligingsautoriteit van de ontvangende entiteit, om het toezicht op de beveiliging op het gerubriceerde contract te vergemakkelijken.
De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 8 van dit Verdrag te zijn.
Artikel 8. Bezoeken
Bezoeken waarbij toegang tot gerubriceerde gegevens met het rubriceringsniveau „ПОВЕРИТЕЛНО/ Stg. CONFIDENTIEEL” of hoger vereist is, dienen vooraf schriftelijk te worden goedgekeurd door de bevoegde beveiligingsautoriteit van de als gastheer optredende partij, tenzij anderszins overeengekomen door de bevoegde beveiligingsautoriteiten. Deze goedkeuring wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know) en die een veiligheidsmachtiging personeel hebben op ten minste het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie, in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit. Indien dit verplicht is volgens de nationale wet- en regelgeving van de als gastheer optredende partij kunnen bezoeken op het niveau „ЗА СЛУЖЕБНО ПОЛЗВАНЕ/DEPARTEMENTAAL VERTROUWELIJK” onderworpen zijn aan voorafgaande schriftelijke toestemming van de bevoegde beveiligingsautoriteit van de als gastheer optredende partij.
⋯
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.