LegalizeVerdrag tussen het Koninkrijk der Nederlanden en het Groothertogdom Luxemburg inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens
Het Koninkrijk der Nederlanden
en
het Groothertogdom Luxemburg,
Hierna gezamenlijk te noemen „de partijen” en elk afzonderlijk „partij”,
Geleid door de wens een systeem vast te stellen voor het regelen van de wederzijdse beveiliging van gerubriceerde gegevens die zijn gegenereerd of uitgewisseld in het kader van de samenwerking tussen de partijen of tussen publieke of private entiteiten onder hun rechtsmacht,
Geleid door de wens de wederzijdse beveiliging van gerubriceerde gegevens te waarborgen, in het belang van de nationale veiligheid, komen het volgende overeen:
Artikel 1. Doel en reikwijdte
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen, tussen een partij en een opdrachtnemer onder de rechtsmacht van de andere partij, of tussen opdrachtnemers onder de rechtsmacht van de respectieve partijen, of die worden gegenereerd in het kader van dit Verdrag. In dit Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.
De partijen nemen alle passende maatregelen krachtens hun nationale wet- en regelgeving om de beveiliging van gerubriceerde gegevens in overeenstemming met dit Verdrag te waarborgen.
Dit Verdrag is van toepassing op alle activiteiten, contracten of overeenkomsten waarbij gerubriceerde gegevens betrokken zijn die na de inwerkingtreding van dit Verdrag tussen de partijen worden uitgevoerd of gesloten.
Dit Verdrag vormt geen basis om de partijen ertoe te verplichten gerubriceerde gegevens te verstrekken of uit te wisselen.
Artikel 2. Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
- a. „Verdrag”, dit document met inbegrip van de Bijlage daarbij.
- b. „Gerubriceerd contract”, elke wettelijk afdwingbare overeenkomst voor het leveren van goederen of diensten die een van de partijen of een opdrachtnemer onder haar rechtsmacht aangaat met een opdrachtnemer onder de rechtsmacht van de andere partij, die gerubriceerde gegevens bevat of waarbij voor de uitvoering toegang vereist is tot gerubriceerde gegevens. Dit begrip omvat een onderaannemingscontract of eventuele voorafgaande contractactiviteiten.
- c. „Gerubriceerde gegevens”, gegevens, materiaal of voorwerpen, ongeacht de vorm of aard daarvan, of delen daarvan die of dat door een van de partijen is voorzien van een rubriceringsniveau, waarvan de ongeoorloofde bekendmaking, verandering, compromittering of het verlies de belangen van een of beide partijen in meer of mindere mate zou kunnen schaden.
- d. „Bevoegde beveiligingsautoriteit”, de overheidsautoriteit in een partij, of een gemachtigde bevoegde beveiligingsautoriteit voor het militaire domein, die verantwoordelijk is voor toezicht op de implementatie van dit Verdrag in overeenstemming met de nationale wet- en regelgeving.
- e. „Opdrachtnemer”, elke persoon, anders dan degenen die door een partij in dienst zijn genomen op grond van een arbeidsovereenkomst of een rechtspersoon onder de rechtsmacht van een partij, die een gerubriceerd contract aangaat of er door gebonden is, met inbegrip van een onderaannemer.
- f. „Veiligheidsmachtiging bedrijfslocatie”, de vaststelling, bevestigd door de bevoegde beveiligingsautoriteit, dat een bedrijfslocatie passende beveiligingsmaatregelen heeft genomen voor de toegang tot en omgang met gerubriceerde gegevens, tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- g. „Need to know”, het vereiste voor een natuurlijke persoon of rechtspersoon voor toegang tot, kennis van of bezit van gerubriceerde gegevens voor het uitvoeren van hun officiële taken of diensten.
- h. „Partij van herkomst”, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd.
- i. „Veiligheidsmachtiging personeel”, de vaststelling, bevestigd door de bevoegde beveiligingsautoriteit, dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
- j. „Verstrekkende entiteit”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag vrijgeeft aan de ontvangende entiteit.
- k. „Ontvangende entiteit”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt van de verstrekkende entiteit.
- l. „Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin de van toepassing zijnde rubriceringsniveaus voor elk onderdeel van dat gerubriceerd contract worden gespecificeerd.
- m. „Beveiligingsincident”, elk(e) ongeoorloofd(e) bekendmaking, verandering, compromittering, verlies, toegang, omgang, opslag of vernietiging van gerubriceerde gegevens in strijd met de nationale wet- en regelgeving van de ontvangende entiteit of dit Verdrag.
- n. „Onderaannemer”, een opdrachtnemer aan wie een hoofdopdrachtnemer een onderaannemingsovereenkomst verleent.
- o. „Derde” elke staat, met inbegrip van elke publieke of private entiteit onder zijn rechtsmacht, of elke internationale organisatie die geen partij is bij dit Verdrag.
Artikel 3. Bevoegde beveiligingsautoriteiten
De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in de Bijlage bij dit Verdrag.
De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens en veranderingen daarvan.
Artikel 4. Rubriceringsniveaus
De partijen verbinden zich ertoe de gerubriceerde gegevens die tussen hen worden uitgewisseld te beveiligen en komen overeen dat de volgende rubriceringsniveaus met elkaar overeenkomen. De niet-officiële vertaling in het Engels van de respectieve rubriceringsniveaus van de partijen, maakt geen deel uit van de nationale wet- en regelgeving van de partijen en dient niet gebruikt te worden om gerubriceerde gegevens aan te duiden.
| Voor het Koninkrijk der Nederlanden | Voor het Groothertogdom Luxemburg | In de Engelse taal |
|---|---|---|
| Stg. ZEER GEHEIM | TRES SECRET LUX | TOP SECRET |
| Stg. GEHEIM | SECRET LUX | SECRET |
| Stg. CONFIDENTIEEL | CONFIDENTIEL LUX | CONFIDENTIAL |
| DEPARTEMENTAAL VERTROUWELIJK | RESTREINT LUX | RESTRICTED |
Artikel 5. Beveiligingsmaatregelen
In overeenstemming met hun nationale wet- en regelgeving waarborgen de partijen de implementatie van passende maatregelen om gerubriceerde gegevens die uit hoofde van dit Verdrag worden gegenereerd of uitgewisseld, te beveiligen. Elke partij kent aan deze gerubriceerde gegevens ten minste dezelfde beveiliging toe als aan haar eigen gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau zoals vervat in artikel 4 van dit Verdrag.
Wanneer dergelijke gerubriceerde gegevens worden verwerkt, opgeslagen of overgebracht door communicatie- en informatiesystemen, waarborgen deze maatregelen de vertrouwelijkheid, integriteit, beschikbaarheid, onweerlegbaarheid, authenticiteit en traceerbaarheid van de toegang tot gerubriceerde gegevens. De partijen waarborgen dat deze gerubriceerde gegevens worden opgeslagen en behandeld in overeenstemming met hun nationale wet- en regelgeving.
Alle gerubriceerde gegevens die uit hoofde van dit Verdrag worden vrijgegeven worden voorzien van het juiste rubriceringsniveau in overeenstemming met de nationale wet- en regelgeving van de partij van herkomst.
De ontvangende entiteit past zijn eigen rubriceringsniveau toe op alle gerubriceerde gegevens die uit hoofde van dit Verdrag van de verstrekkende entiteit zijn ontvangen, op het vergelijkbare rubriceringsniveau in overeenstemming met de tabel vervat in artikel 4, zodanig dat het altijd duidelijk is wie de partij van herkomst is.
Wanneer de vorm of de aard van de gerubriceerde gegevens het de ontvangende entiteit niet mogelijk maakt een dergelijke markering toe te passen op haar eigen overeenkomstige rubriceringsniveau, beslissen de bevoegde beveiligingsautoriteiten of de markering door de partij van oorsprong volstaat.
De ontvangende entiteit zal het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens niet veranderen of intrekken zonder de schriftelijke goedkeuring van de partij van herkomst.
De partij van herkomst waarborgt dat de ontvangende entiteit op de hoogte wordt gebracht van elke verandering van het rubriceringsniveau van de verstrekte gerubriceerde gegevens, teneinde de relevante beveiligingsmaatregelen toe te passen.
De partij van herkomst kan de gerubriceerde gegevens tevens, in het Engels, voorzien van vereisten voor de omgang ermee om eventuele beperkingen te stellen aan het gebruik, de bekendmaking, vrijgave en toegang door de ontvangende entiteit.
De partijen nemen alle passende maatregelen om te waarborgen dat de ontvangende entiteit:
- a. waarborgt dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
- b. de gerubriceerde gegevens uitsluitend gebruikt voor het doel waarvoor zij zijn vrijgegeven en binnen de door de partij van herkomst gestelde beperkingen.
Artikel 6. Toegang tot gerubriceerde gegevens
Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden voor de beveiliging van gerubriceerde gegevens en hun verantwoordelijkheden hebben bevestigd om gerubriceerde gegevens in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit te beveiligen.
In aanvulling op de vereisten van het eerste lid van dit artikel wordt toegang tot gerubriceerde gegevens op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL en hoger uitsluitend verleend aan de natuurlijke personen die een veiligheidsmachtiging personeel hebben op ten minste het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit.
Artikel 7. Gerubriceerde contracten
Op verzoek van de partij van herkomst deelt de bevoegde beveiligingsautoriteit van de ontvangende entiteit aan de bevoegde beveiligingsautoriteit van de partij van herkomst mee of een opdrachtnemer die onder haar rechtsmacht valt en deelneemt aan een gerubriceerd contract of precontractuele onderhandelingen inzake een gerubriceerd contract en waarvoor toegang tot gerubriceerde gegevens vereist is, een veiligheidsmachtiging bedrijfslocatie heeft gekregen op het vereiste rubriceringsniveau. Indien de opdrachtnemer niet, op dat moment, over een veiligheidsmachtiging bedrijfslocatie beschikt, of de veiligheidsmachtiging bedrijfslocatie van een lager niveau is dan vereist, wordt de verzoekende bevoegde beveiligingsautoriteit daarvan op de hoogte gesteld.
Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract waarvoor toegang tot gerubriceerde gegevens vereist is op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL of hoger te gunnen aan een opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de bevoegde beveiligingsautoriteit van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie is toegekend met het vereiste rubriceringsniveau. Voor gerubriceerde contracten met het rubriceringsniveau dat overeenkomt met RESTREINT LUX/ DEPARTEMENTAAL VERTROUWELIJK kan een veiligheidsmachtiging bedrijfslocatie vereist zijn indien dit verplicht wordt gesteld in de nationale wet- en regelgeving van de partij onder wier rechtsmacht de opdrachtnemer zijn activiteiten uitvoert.
De bevoegde beveiligingsautoriteit van de partij onder wier rechtsmacht de opdrachtnemer valt, waarborgt dat de opdrachtnemer:
- a. waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met hun nationale wet- en regelgeving en met dit Verdrag;
- b. de beveiligingsuitvoering op zijn locaties in het oog houdt;
- c. zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elk beveiligingsincident dat betrekking heeft op het gerubriceerd contract.
In aanvulling op de vereisten van het derde lid van dit artikel, met betrekking tot gerubriceerde contracten waarbij toegang vereist is tot gerubriceerde gegevens op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL of hoger, waarborgt de bevoegde beveiligingsautoriteit dat de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie bezit met het vergelijkbaar rubriceringsniveau teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel met het vergelijkbaar rubriceringsniveau hebben.
Elk gerubriceerd contract dient beveiligingsvereisten te bevatten waarin de volgende aspecten vermeld staan:
- a. een rubriceringsgids;
- b. een procedure voor het melden van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 5, zevende lid, van dit Verdrag;
- c. de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van gerubriceerde gegevens;
- d. instructies voor de omgang met, opslag, vernietiging en retourneren van gerubriceerde gegevens;
- e. contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
- f. de verplichting om de bevoegde beveiligingsautoriteit van de opdrachtnemer in kennis te stellen van elk beveiligingsincident en de verplichting voor opdrachtnemers om alle redelijke stappen te nemen om de gevolgen van een dergelijke beveiligingsinbreuk te beperken in samenspraak met de bevoegde beveiligingsautoriteit;
- g. wanneer een gerubriceerd contract geheel of gedeeltelijk wordt onderuitbesteed, de verplichting om alle bepalingen betreffende opdrachtnemers in dit Verdrag op te leggen aan de onderaannemer;
- h. een verwijzing naar dit Verdrag;
- i. een verklaring dat gerubriceerde gegevens die in het kader van het gerubriceerde contract worden uitgewisseld of gegenereerd, door de opdrachtnemer worden beschermd in overeenstemming met de van toepassing zijnde nationale wet- en regelgeving en dit Verdrag.
Indien een gerubriceerd contract wordt toegekend, zal de partij of een opdrachtnemer onder haar rechtsmacht, via haar bevoegde beveiligingsautoriteit een kopie sturen van de beveiligingsvereisten zoals bedoeld in het vijfde lid van dit artikel, naar de bevoegde beveiligingsautoriteit van de ontvangende entiteit, om het beveiligingstoezicht op het gerubriceerde contract te vergemakkelijken.
De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 8 van dit Verdrag te zijn.
Artikel 8. Bezoeken
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.