Brief regering; Verdrag met Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; ’s-Gravenhage, 22 februari 2022 (herdruk) - Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; ’s-Gravenhage, 22 februari 2022 - Hoofdinhoud
Deze overlegging verdrag ter stilzwijgende goedkeuring is onder nr. 1 toegevoegd aan dossier 36133 - Verdrag met Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens.
Inhoudsopgave
| Officiële titel | Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; ’s-Gravenhage, 22 februari 2022; Brief regering; Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; ’s-Gravenhage, 22 februari 2022 (herdruk) |
|---|---|
| Documentdatum | 15-06-2022 |
| Publicatiedatum | 15-06-2022 |
| Nummer | KST1092456 |
| Kenmerk | 36133, nr. 1 |
| Externe link | origineel bericht |
| Originele document in PDF |  |
1/2
Vergaderjaar 2021-2022
36 133 Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; ’s-Gravenhage, 22 februari 2022
Nr. 1 Herdruk1 Brief van de minister van Buitenlandse Zaken
Aan de Voorzitters van de Eerste en van de Tweede Kamer der Staten-Generaal
Den Haag, 13 juni 2022
Overeenkomstig het bepaalde in artikel 2, eerste lid, en artikel 5, eerste lid, van de Rijkswet goedkeuring en bekendmaking verdragen, de Raad van State gehoord, heb ik de eer u hierbij ter stilzwijgende goedkeuring over te leggen het op 22 februari 2022 te ’s-Gravenhage tot stand gekomen verdrag tussen het Koninkrijk der Nederlanden en de Republiek Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens (Trb. 2022, nr. 20).
Een toelichtende nota bij dit verdrag treft u eveneens hierbij aan.
De goedkeuring wordt voor het Europese deel en het Caribische deel van Nederland gevraagd.
De minister van Buitenlandse Zaken,
W.B. Hoekstra
Ter griffie van de Eerste en van de Tweede Kamer der Staten-Generaal ontvangen op 15 juni 2022.
De wens dat het verdrag aan de uitdrukkelijke goedkeuring van de Staten-Generaal wordt onderworpen kan door of namens één van de Kamers of door ten minste vijftien leden van de Eerste Kamer dan wel dertig leden van de Tweede Kamer te kennen worden gegeven uiterlijk op 15 juli 2022.
Door middel van dit Verdrag verzekeren Nederland en Finland zich ervan dat nationale gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van nationale gerubriceerde gegevens valt daaronder tevens de strafbaarstelling in het geval van compromittering van nationale gerubriceerde gegevens.
Het Verdrag maakt de uitwisseling van nationale gerubriceerde gegevens mogelijk, maar verplicht beide landen daar niet toe. Het is telkens de eigenstandige afweging van de respectieve overheden om nationale gerubriceerde gegevens al dan niet uit te wisselen. Deze uitwisseling kan plaatsvinden tussen overheden onderling, of tussen overheid en bedrijfsleven, wanneer de overheid een gerubriceerde opdracht verleent aan een bedrijf in het andere land. Dit Verdrag biedt Nederlandse bedrijven daarmee de mogelijkheid om opdrachten voor Finland uit te voeren waarvoor toegang tot Finse gerubriceerde gegevens nodig is en vice versa.
Vanwege de nauwe banden tussen Nederland en Finland biedt dit Verdrag waarborgen voor samenwerking in het geval dat nationale gerubriceerde gegevens moeten worden uitgewisseld. Dit is onder andere aan de orde op militair gebied en in de vitale sectoren.
Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen schriftelijk en in een gezamenlijke sessie informatie uitgewisseld over de respectieve nationale wet- en regelgeving voor de bescherming van nationale gerubriceerde gegevens en de implementatie daarvan. Vervolgens is op basis daarvan de tekst van het Verdrag afgerond, die aansluit bij de wet- en regelgeving en de uitvoeringspraktijk in de beide landen.
Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden uitgewisseld tussen Nederland en Finland te waarborgen. Het Verdrag regelt dat de informatie die onderling onder het Verdrag wordt uitgewisseld in beide landen een vergelijkbaar en passend niveau van beveiliging krijgt. In het Verdrag zijn de veiligheidsprocedures en regelingen voor de beveiliging vastgelegd.
Artikel 2 bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen overigens gebruikelijke, begrippen.
De verantwoordelijke autoriteit voor de implementatie en uitvoering van het Verdrag is in beide landen de National Security Authority (NSA), in Nederland ondergebracht bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) .
De NSA is het eerste aanspreekpunt voor bedrijven en overheden uit beide landen over de uitvoering van het Verdrag, de NSA ziet toe op de naleving van het Verdrag bij de eigen overheid en de bedrijven die onder haar jurisdictie vallen en de NSA draagt zorg voor de uitvoering van onderzoek ten behoeve van veiligheidsmachtigingen voor personen en/of bedrijfslocaties.
De Militaire Inlichtingen- en Veiligheidsdienst (MIVD)/ Bureau Industrieveiligheid (BIV) is de zogenoemde Designated Security Authority (DSA). De DSA voert een aantal specifieke taken uit namens de verantwoordelijke autoriteit. De MIVD/ BIV vervult deze rol in de richting van betrokken bedrijven teneinde uitvoering te geven aan bepaalde verplichtingen, zoals het afgeven van veiligheidsmachtigingen in het militaire domein.
In het eerste lid van dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus van de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus die Nederland en Finland volgens hun wet- en regelgeving hanteren. Gerubriceerde informatie die Nederland ontvangt van Finland zal worden beveiligd volgens de maatregelen zoals die in Nederland gelden voor het equivalente nationale rubriceringsniveau. Vice versa geldt hetzelfde.
Door gerubriceerde informatie afkomstig van de andere partij ook te voorzien van de equivalente nationale rubricering (door de zgn. dubbele markering), wordt de herkenbaarheid vergroot en de naleving van de vereiste beveiligingsmaatregelen bevorderd. Deze waarborg is vastgelegd in het tweede lid.
Dit artikel beschrijft maatregelen die partijen nemen ter beveiliging van gerubriceerde gegevens. Zo geeft het eerste lid aan, dat partijen gerubriceerde informatie van de andere partij minstens op dezelfde manier beveiligen als hun eigen gerubriceerde gegevens. Nederlandse wet- en regelgeving vereist echter, in tegenstelling tot Finse wet- en regelgeving, geen maatregelen (zoals het gebruik van cryptografische middelen) wanneer gerubriceerde gegevens op DEPARTEMENTAAL VERTROUWELIJK niveau digitaal worden verzonden.2 Hoewel in de Nederlands nationale praktijk doorgaans wel gebruik wordt gemaakt van cryptografische middelen in een zodanig geval, hechtten partijen eraan dit als wederkerige verplichting op te nemen in het Verdrag.
Het tweede lid waarborgt dat gerubriceerde gegevens niet zomaar bij een derde partij terecht kunnen komen.
Het derde lid gaat in op de vereisten voor toegang tot gerubriceerde gegevens. Zo dient de persoon die zich toegang wenst te verschaffen daarvoor eerst geïnformeerd te zijn over zijn/ haar verantwoordelijkheden ten aanzien van die toegang. Daarnaast dient deze persoon gebonden te zijn aan geheimhouding, bijvoorbeeld door het ondertekenen van een geheimhoudingsverklaring. Anders dan bij DEPARTEMENTAAL VERTROUWELIJK gerubriceerde gegevens (zie het vierde lid van dit artikel) is daarnaast voor toegang tot staatsgeheime gegevens (dat wil zeggen: gegevens met een rubricering van Stg CONFIDENTIEEL en hoger) een persoonlijke veiligheidsmachtiging vereist. Deze screening vindt in Nederland plaats op basis van de Wet veiligheidsonderzoeken (Wvo)3. De enige uitzondering op het vereiste van de veiligheidsmachtiging, is de uitzondering als genoemd in artikel 11 van de Wvo. Hierin wordt een aantal functies genoemd waarop de Wvo niet van toepassing is. Ergo, de personen met een zodanige functie kunnen toegang krijgen tot staatsgeheime gegevens zonder dat daarvoor eerst een veiligheidsmachtiging is vereist (bijvoorbeeld leden van de rechterlijke macht met rechtspraak belast).
Aangezien volgens de toepasselijke nationale wet- en regelgeving een veiligheidsmachtiging niet nodig is, alvorens toegang kan worden verkregen tot DEPARTEMENTAAL VERTROUWELIJK gerubriceerde gegevens4, is in het vierde lid opgenomen dat voor die toegang enkel de overige vereisten als genoemd in het derde lid gelden.
De laatste waarborg van dit artikel, namelijk in het vijfde lid, is dat partijen doelbinding zijn overeengekomen.
Tijdens de onderhandelingen die hebben geleid tot het Verdrag hebben beide partijen elkaar geïnformeerd over de wederzijdse wet- en regelgeving en bijbehorende uitvoeringspraktijk. Het eerste lid van dit artikel voorziet in een blijvende informatie-uitwisseling tussen partijen daaromtrent.
Het tweede lid bepaalt dat partijen elkaar onderling kunnen bevragen over de geldigheid van afgegeven veiligheidsmachtigingen voor personen of bedrijfslocaties. In aanvulling hierop, is in het vierde lid van dit artikel bepaald dat partijen elkaar informeren over wijzigingen in afgegeven veiligheidsmachtigingen voor personen of bedrijfslocaties.
Ook zullen de partijen elkaar - in overeenstemming met de nationale wet- en regelgeving - ondersteunen bij de uitvoering van onderzoeken ten behoeve van de afgifte van voornoemde veiligheidsmachtigingen, door informatie te verstrekken over personen indien deze personen gedurende een deel van de onderzoeksperiode in hun land verblijf hebben gehad, aldus het derde lid.
Samenwerking onder het Verdrag, waaronder de samenwerking als genoemd in dit artikel, vindt plaats in de Engelse taal. Dit is opgenomen in het vijfde lid van artikel 6.
Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door de overheid van de ene partij aan bedrijven die vallen onder de jurisdictie van de andere partij. Voor Nederlandse bedrijven die mee willen dingen naar een gerubriceerde opdracht van de Finse overheid zal door de Nederlandse overheid onderzoek worden uitgevoerd ten behoeve van veiligheidsmachtigingen voor personeel en bedrijfslocaties en zal tijdens de uitoefening van de gerubriceerde opdracht bovendien periodiek toezicht worden gehouden bij deze bedrijven. Deze procedure komt op hoofdlijnen overeen met de gehanteerde procedures voor gerubriceerde opdrachten van internationale organisaties, namelijk de EU, NAVO en ESA.
Indien sprake is van een zogenoemde precontractuele fase, waarin onderhandelingen tussen de overheid en een bedrijf kunnen plaatsvinden, bepaalt het eerste lid dat de verantwoordelijke autoriteiten van partijen elkaar desgevraagd kunnen informeren of het bedrijf in kwestie een veiligheidsmachtiging voor zijn bedrijfslocatie heeft.
Het tweede lid bepaalt dat wanneer een partij of een bedrijf onder diens jurisdictie, een gerubriceerde opdracht (vanaf het niveau Stg CONFIDENTIEEL en diens Finse equivalent) wil gunnen aan een bedrijf werkzaam onder de jurisdictie van de andere partij, eerst een schriftelijke bevestiging dient te verkrijgen van de andere partij, dat het bedrijf aan wie zij de opdracht wil gunnen over de benodigde veiligheidsmachtiging beschikt. Als het bedrijf niet over deze veiligheidsmachtiging beschikt, moet hij deze aanvragen bij de verantwoordelijke autoriteit. Het derde lid geeft aan dat wanneer sprake is van een openbare aanbesteding, de verantwoordelijke autoriteiten van partijen elkaar kunnen informeren of een bedrijf in het bezit is van een veiligheidsmachtiging voor bedrijfslocaties. Hoewel een veiligheidsmachtiging voor bedrijfslocaties in dat stadium nog geen vereiste is - gelet op de aanbestedende fase - is het voor de aanbestedende partij wel van nut om te weten welke potentiele opdrachtnemers in het bezit zijn van een veiligheidsmachtiging voor bedrijfslocaties.
Het vijfde lid bepaalt dat de verantwoordelijke autoriteiten van partijen elkaar kunnen bezoeken teneinde de maatregelen die zijn genomen voor de bescherming van gerubriceerde informatie te beoordelen. Indien nodig, kunnen ook de maatregelen die door bedrijven zijn genomen, daarbij in aanmerking genomen worden. Een en ander zal in overleg tussen de verantwoordelijke autoriteiten van partijen gebeuren. Het ministerie van Defensie heeft aangegeven dergelijke bezoeken vanuit Finland bij defensieonderdelen of bij Defensie-orderbedrijven in beginsel niet toe te zullen staan, omdat het hecht aan het wederzijdse vertrouwen tussen partijen ten aanzien van de beveiligingsmaatregelen, zoals die bij het afsluiten van het Verdrag onderling zijn vastgesteld. Dit geldt eveneens vice versa.
Het zesde lid stelt eisen aan het contract tussen overheid en bedrijf, teneinde te bewerkstelligen dat beveiligingseisen in de praktijk ook voor bedrijven kenbaar zijn en worden nageleefd.
Om te bewerkstelligen dat de verantwoordelijke autoriteiten van partijen in staat zijn implementatie en uitvoering van het Verdrag goed plaats te laten vinden, is in het zevende lid opgenomen dat zij op de hoogte worden gesteld van de eisen als bedoeld in het zesde lid.
Het kan in de praktijk voor komen dat bedrijven een (deel van een) gerubriceerde opdracht uitbesteden aan een onderaannemer. Partijen hebben er belang aan gehecht om in het negende lid op te nemen dat de onderaannemer ook gehouden is aan de bepalingen als genoemd in dit artikel.
Het eerste lid van dit artikel bepaalt dat nationale gerubriceerde gegevens tussen partijen mogen worden uitgewisseld op de manier zoals bepaald in nationale wet- en regelgeving, of op een andere wijze die altijd tussen de verantwoordelijke autoriteiten wordt afgestemd.
Voor zover het gaat om elektronische verzending van nationale gerubriceerde gegevens, geldt het vereiste van cryptografische middelen. De exacte procedure hiervoor zal tussen verantwoordelijke autoriteiten moeten worden afgestemd, aldus het tweede lid.
Dit artikel bevat een aantal specifieke bepalingen omtrent de reproductie, vertaling en vernietiging van gerubriceerde informatie, met specifieke aandacht voor de hoogste rubricering en voor noodsituaties. Deze bepalingen zijn erop gericht te waarborgen dat de partij van wie de betreffende gerubriceerde informatie afkomstig is, zoveel als mogelijk controle houdt over de betreffende informatie.
Dit artikel sluit aan op artikel 8 omdat het is bedoeld voor medewerkers van bedrijven. Wanneer bijvoorbeeld een medewerker van een Nederlands bedrijf in de uitvoering van een gerubriceerde opdracht de Finse overheid of een Fins bedrijf wil bezoeken waarbij toegang tot Finse nationale gerubriceerde gegevens nodig is, wordt via de in dit artikel beschreven procedure bij de Nederlandse verantwoordelijke autoriteit nagegaan of de betrokkene op dat moment over een geldige veiligheidsmachtiging beschikt. Dit wordt vervolgens gemeld aan de Finse verantwoordelijke autoriteit voorafgaand aan het bezoek en geldt als voorwaarde voor toegang tot de nationale Finse gerubriceerde gegevens. Deze procedure geldt dus tevens vice versa.
Dit artikel beschrijft de te doorlopen procedure in het geval van (vermoedelijke) beveiligingsincidenten. Ook hier is een rol weggelegd voor de verantwoordelijke autoriteit van het land waar het beveiligingsincident (mogelijk) heeft plaatsgevonden. Deze verantwoordelijke autoriteit doet immers onderzoek naar dat beveiligingsincident. Waar nodig, werkt de verantwoordelijke autoriteit samen met de verantwoordelijke autoriteit van het andere land.
In dit artikel is bepaald dat internationale bindende afspraken die specifieke handelingen regelen prevaleren. Te denken valt aan specifieke defensieverdragen of verdragen met betrekking tot internationale organisaties, zoals de EU5 en de NAVO6, voor de onderlinge uitwisseling van nationale gerubriceerde gegevens. Dit Verdrag heeft alleen betrekking op de uitwisseling van nationale gerubriceerde gegevens tussen Nederland en Finland.
Volgens dit artikel zijn de verantwoordelijke autoriteiten (oftewel NSA’s) bevoegd om, indien daar aanleiding toe bestaat, verder afspraken te maken ter uitvoering van het Verdrag. Vanwege het specifieke beleid dat het Ministerie van Defensie hanteert ten aanzien van beveiliging van gerubriceerde gegevens in het militaire domein, is het voor het Ministerie van Defensie noodzakelijk dat, indien er defensie of defensie-industrie gerelateerde uitwisseling van gerubriceerde informatie voortvloeit uit dit Verdrag, er nadere afspraken gemaakt worden. Hiervoor, alsmede voor de implementatie van die afspraken, is het Ministerie van Defensie als eerste aanspreekpunt verantwoordelijk.
Dit artikel bevat de gebruikelijke slotbepalingen.
In het vijfde lid is een bepaling opgenomen voor het geval het Verdrag beëindigd wordt. De nationale gerubriceerde gegevens die op het moment van beëindiging onder de reikwijdte van het Verdrag vallen, zullen de bescherming van het Verdrag behouden zolang ze een onder het Verdrag verkregen nationale rubricering behouden.
In Bijlage I staan de verantwoordelijke autoriteiten voor Nederland en Finland opgenomen. De verantwoordelijke autoriteit voor de uitvoering van het Verdrag is in beide landen de daartoe aangewezen NSA.
De Bijlage vormt een geïntegreerd onderdeel van het Verdrag en is aan te merken als zijnde van uitvoerende aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge artikel 7, onderdeel f van de Rijkswet goedkeuring en bekendmaking verdragen, geen parlementaire goedkeuring, tenzij de Staten-Generaal zich thans het recht tot goedkeuring terzake voorbehouden.
Een ieder verbindende bepalingen
Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten toekennen of plichten opleggen. Het gaat hierbij om artikel 7, tweede en negende lid en artikel 10, in verband met de positie van bedrijven aan of door wie die gerubriceerde opdrachten zijn verleend of waaraan men opdrachten wil gunnen.
Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese en het Caribische deel van Nederland gelden. Dit is in lijn met de andere bilaterale beveiligingsverdragen die Nederland heeft gesloten (laatstelijk met het Koninkrijk Spanje, Trb. 2021, nr. 123). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde opdrachten voor de Finse overheid uit te voeren en maakt het tevens mogelijk om informatie die door de Finse overheid wordt gedeeld met overheidsinstanties in het Caribische deel van Nederland te delen.
De minister van Binnenlandse Zaken en Koninkrijksrelaties, H.G.J. Bruins Slot
De minister van Buitenlandse Zaken,
W.B. Hoekstra
De minister van Defensie,
K.H. Ollongren
i.v.m. toevoegen van de Eerste Kamer aanduiding
Zie ook: Bijlage 1 bij het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013).
Wet van 10 oktober 1996, houdende regelen inzake het verrichten van veiligheidsonderzoeken (Stb. 1996, nr. 525).
Zie ook: Bijlage 1 bij het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013).
Overeenkomst tussen de lidstaten van de Europese Unie, in het kader van de Raad bijeen, betreffende de bescherming van in het belang van de Europese Unie uitgewisselde gerubriceerde informatie (2011/C 202/05).
Verdrag tussen de Partijen bij het Noord-Atlantisch Verdrag inzake de beveiliging van gegevens, Brussel, 06-03-1997 (Trb. 1998, nr. 187).