Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Polen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Warschau, 10 februari 2023
Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Polen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Warschau, 10 februari 2023
Brief regering
Nummer: 2023D20057, datum: 2023-05-11, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-36356-1).
Gerelateerde personen:- Eerste ondertekenaar: W.B. Hoekstra, minister van Buitenlandse Zaken (Ooit CDA kamerlid)
- Mede ondertekenaar: K.H. Ollongren, minister van Defensie
- Mede ondertekenaar: H.G.J. Bruins Slot, minister van Binnenlandse Zaken en Koninkrijksrelaties (Ooit CDA kamerlid)
- Beslisnota inzake Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Polen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Warschau, 10 februari 2023
- Toelichtende nota
Onderdeel van kamerstukdossier 36356 -1 Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Polen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Warschau, 10 februari 2023 .
Onderdeel van zaak 2023Z08437:
- Indiener: W.B. Hoekstra, minister van Buitenlandse Zaken
- Medeindiener: H.G.J. Bruins Slot, minister van Binnenlandse Zaken en Koninkrijksrelaties
- Medeindiener: K.H. Ollongren, minister van Defensie
- Volgcommissie: vaste commissie voor Buitenlandse Zaken
- Volgcommissie: vaste commissie voor Defensie
- Voortouwcommissie: vaste commissie voor Binnenlandse Zaken
- 2023-05-23 15:45: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2023-06-01 11:30: Procedurevergadering commissie Binnenlandse Zaken (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
- 2023-09-05 15:20: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Staten-Generaal | 1/2 |
Vergaderjaar 2022-2023 |
36 356 Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Polen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Warschau, 10 februari 2023
A/ Nr. 1 BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN
Aan de Voorzitters van de Eerste en van Tweede Kamer der Staten-Generaal
Den Haag, 11 mei 2023
Overeenkomstig het bepaalde in artikel 2, eerste lid, en artikel 5, eerste lid, van de Rijkswet goedkeuring en bekendmaking verdragen, de Raad van State gehoord, heb ik de eer u hierbij ter stilzwijgende goedkeuring over te leggen het op 10 februari 2023 te Warschau tot stand gekomen Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Polen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens (Trb. 2023, nr. 18).
Een toelichtende nota bij dit verdrag treft u eveneens hierbij aan.
De goedkeuring wordt voor het Europese deel en het Caribische deel van Nederland gevraagd.
De Minister van Buitenlandse Zaken,
W.B. Hoekstra
TOELICHTENDE NOTA
Algemeen
Door middel van dit Verdrag verzekeren Nederland en Polen zich ervan dat nationale gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van nationale gerubriceerde gegevens valt daaronder tevens de strafbaarstelling in het geval van compromittering van nationale gerubriceerde gegevens.
Het Verdrag maakt de uitwisseling van nationale gerubriceerde gegevens mogelijk, maar verplicht beide landen daar niet toe. Het is telkens de eigenstandige afweging van de respectieve overheden om nationale gerubriceerde gegevens al dan niet uit te wisselen. Deze uitwisseling kan plaatsvinden tussen overheden onderling, of tussen overheid en bedrijfsleven, wanneer de overheid een gerubriceerde opdracht verleent aan een bedrijf in het andere land. Dit Verdrag biedt Nederlandse bedrijven daarmee de mogelijkheid om opdrachten voor Polen uit te voeren waarvoor toegang tot Poolse gerubriceerde gegevens nodig is en vice versa.
Vanwege de nauwe banden tussen Nederland en Polen biedt dit Verdrag waarborgen voor samenwerking in het geval dat nationale gerubriceerde gegevens moeten worden uitgewisseld. Dit is bijvoorbeeld aan de orde op militair gebied.
Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen schriftelijk en in een gezamenlijke fysieke sessie informatie uitgewisseld over de respectieve nationale wet- en regelgeving voor de bescherming van nationale gerubriceerde gegevens en de implementatie daarvan. Vervolgens is op basis daarvan de tekst van het Verdrag afgerond, die aansluit bij de wet- en regelgeving en de uitvoeringspraktijk in de beide landen.
Artikelsgewijze toelichting
Artikel 1
Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden uitgewisseld tussen Nederland en Polen te waarborgen. Het Verdrag regelt dat de informatie die onderling onder het Verdrag wordt uitgewisseld in beide landen een vergelijkbaar en passend niveau van beveiliging krijgt. In het Verdrag zijn de veiligheidsprocedures en regelingen voor de beveiliging vastgelegd.
Artikel 2
Artikel 2 bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen overigens gebruikelijke, begrippen.
Artikel 3
De verantwoordelijke autoriteit voor de implementatie en uitvoering van het Verdrag wordt in het Verdrag omschreven als de Competent Security Authority (CSA, zie ook artikel 2, onder 4 van het Verdrag). Deze rol is in Nederland belegd bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD).
De CSA is het eerste aanspreekpunt voor bedrijven en overheden uit beide landen over de uitvoering van het Verdrag, ziet toe op de naleving van het Verdrag bij de eigen overheid en de bedrijven die onder haar jurisdictie vallen en draagt zorg voor de uitvoering van onderzoek ten behoeve van veiligheidsmachtigingen voor personen en/of bedrijven.
De CSA is bevoegd bepaalde verantwoordelijkheden te delegeren aan een zogenoemde delegated Competent Security Authority. Voor Nederland is dit de beveiligingsautoriteit (BA) van het Ministerie van Defensie. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD)/Bureau Industrieveiligheid (BIV) vervult deze rol in de richting van betrokken bedrijven teneinde uitvoering te geven aan bepaalde verplichtingen, zoals het afgeven van veiligheidsmachtigingen in het militaire domein.
Artikel 4
In het eerste lid van dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus van de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus die Nederland en Polen volgens hun wet- en regelgeving hanteren. Gerubriceerde informatie die Nederland ontvangt van Polen zal worden beveiligd volgens de maatregelen zoals die in Nederland gelden voor het equivalente nationale rubriceringsniveau. Vice versa geldt hetzelfde.
Door gerubriceerde informatie afkomstig van de andere partij ook te voorzien van de equivalente nationale rubricering (de «dubbele markering»), wordt de herkenbaarheid vergroot en de naleving van de vereiste beveiligingsmaatregelen bevorderd. Deze waarborg is vastgelegd in het tweede lid.
Het aanbrengen van een initiële rubricering is aan de partij onder wiens verantwoordelijkheid de informatie in kwestie tot stand is gekomen. Dit brengt met zich mee, dat wijziging of verwijdering van die rubricering tevens aan die partij is voorbehouden. Deze waarborg is opgenomen in het derde lid.
Artikel 5
Dit artikel beschrijft onder welke voorwaarden toegang tot gerubriceerde informatie verstrekt wordt. Zo dient men daarvoor geïnformeerd te zijn over de verantwoordelijkheden ten aanzien van die toegang. Daarnaast dient de persoon die zich toegang wenst te verschaffen gebonden te zijn aan geheimhouding, bijvoorbeeld door het ondertekenen van een geheimhoudingsverklaring. Voor toegang tot gegevens met een rubricering van Stg CONFIDENTIEEL en hoger, is daarnaast een persoonlijke veiligheidsmachtiging vereist (zie het eerste lid van dit artikel). Deze screening vindt in Nederland plaats op basis van de Wet Veiligheidsonderzoeken (Wvo).
Aangezien volgens de toepasselijke nationale wet- en regelgeving een veiligheidsmachtiging niet nodig is, alvorens toegang kan worden verkregen tot DEPARTEMENTAAL VERTROUWELIJKE gegevens, is in het tweede lid van dit artikel opgenomen dat voor die toegang enkel de overige vereisten als genoemd in het eerste lid gelden.
Artikel 6
Dit artikel beschrijft maatregelen die partijen nemen ter beveiliging van gerubriceerde gegevens. Zo geeft het eerste lid aan, dat partijen gerubriceerde informatie van de andere partij minstens op dezelfde manier beveiligen als hun eigen gerubriceerde gegevens.
Het tweede en derde lid, omschrijven de verantwoordelijkheden van de verstrekkende en ontvangende partij van gerubriceerde gegevens. Belangrijk hierbij om te vermelden is, dat het aan de verdragsluitende partijen is om erop toe te zien dat deze verantwoordelijkheden worden nageleefd.
Artikel 7
Tijdens de onderhandelingen die hebben geleid tot het Verdrag hebben beide partijen elkaar geïnformeerd over de wederzijdse wet- en regelgeving en bijbehorende uitvoeringspraktijk. Het eerste lid van dit artikel voorziet in een blijvende informatie-uitwisseling tussen partijen daaromtrent.
Dit artikel ziet verder specifiek op samenwerking met betrekking tot de afgifte van veiligheidsmachtigingen voor personen of bedrijven. Zo bepalen het tweede en derde lid dat partijen de door elkaar afgegeven veiligheidsmachtigingen erkennen en elkaar onderling kunnen bevragen over de geldigheid van afgegeven veiligheidsmachtigingen voor personen of bedrijven. Ook zullen de partijen elkaar, in overeenstemming met de nationale wet- en regelgeving, ondersteunen bij de uitvoering van onderzoeken ten behoeve van de afgifte van voornoemde veiligheidsmachtigingen, aldus het vierde lid. Dit kan bijvoorbeeld door informatie te verstrekken over personen indien deze personen gedurende een deel van de onderzoeksperiode in hun land verblijf hebben gehad. In aanvulling hierop, is in het vijfde lid van dit artikel bepaald dat partijen elkaar informeren over wijzigingen in afgegeven veiligheidsmachtigingen voor personen of bedrijven.
Artikel 8
Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door de overheid van de ene partij aan bedrijven die vallen onder de jurisdictie van de andere partij. Voor Nederlandse bedrijven die mee willen dingen naar een gerubriceerde opdracht van de Poolse overheid zal door de Nederlandse overheid onderzoek worden uitgevoerd ten behoeve van veiligheidsmachtigingen voor personen en bedrijven en zal tijdens de uitoefening van de gerubriceerde opdracht bovendien periodiek toezicht worden gehouden bij deze bedrijven. Deze procedure komt op hoofdlijnen overeen met de gehanteerde procedures voor gerubriceerde opdrachten van internationale organisaties, namelijk de EU, NAVO en ESA.
Het eerste lid bepaalt dat wanneer een partij of een bedrijf onder diens jurisdictie, een gerubriceerde opdracht (vanaf het niveau Stg CONFIDENTIEEL en diens Poolse equivalent) wil gunnen aan een bedrijf werkzaam onder de jurisdictie van de andere partij, eerst een schriftelijke bevestiging dient te verkrijgen van de andere partij, dat het bedrijf aan wie zij de opdracht wil gunnen over de benodigde veiligheidsmachtiging beschikt. Als het bedrijf niet over deze veiligheidsmachtiging beschikt, moet hij deze aanvragen bij de CSA. Het derde lid geeft aan dat wanneer sprake is van een openbare aanbesteding, de CSA’s van partijen elkaar kunnen informeren of een bedrijf in het bezit is van een veiligheidsmachtiging voor bedrijven. Hoewel een veiligheidsmachtiging voor bedrijven in dat stadium nog geen vereiste is – gelet op de aanbestedende fase – is het voor de aanbestedende partij wel van nut om te weten welke potentiele opdrachtnemers in het bezit zijn van een veiligheidsmachtiging voor bedrijven.
In Nederland geldt binnen het militaire domein het vereiste van een veiligheidsmachtiging voor bedrijven tevens voor gerubriceerde opdrachten op niveau DEPARTEMENTAAL VERTROUWELIJK.
Het tweede lid, kent aan de CSA de verantwoordelijkheid toe, om toezicht te houden op bedrijven die een gerubriceerde opdracht aangaan.
Het derde lid, stelt eisen aan de gerubriceerde contracten, teneinde te bewerkstelligen dat beveiligingseisen in de praktijk voor alle betrokken partijen kenbaar zijn en juridisch kunnen worden afgedwongen.
Het kan in de praktijk voor komen dat bedrijven een (deel van een) gerubriceerde opdracht uitbesteden aan een onderaannemer. Partijen hebben er belang aan gehecht om in het zesde lid op te nemen dat de onderaannemer ook gehouden is aan de dezelfde bepalingen als het bedrijf (zijnde de hoofdaannemer).
Artikel 9
Het eerste lid van dit artikel bepaalt dat nationale gerubriceerde gegevens tussen partijen mogen worden uitgewisseld op de manier zoals bepaald in nationale wet- en regelgeving, of op een andere wijze die altijd tussen de CSA’s wordt afgestemd.
Voor zover het gaat om elektronische verzending van nationale gerubriceerde gegevens, geldt het vereiste van cryptografische middelen. De exacte procedure hiervoor zal tussen CSA’s moeten worden afgestemd, aldus het tweede lid.
Artikel 10
Dit artikel bevat een aantal specifieke bepalingen omtrent de reproductie, vertaling en vernietiging van gerubriceerde gegevens, met specifieke aandacht voor gegevens met de hoogste rubricering en voor noodsituaties. Deze bepalingen zijn erop gericht te waarborgen dat de partij van wie de betreffende gerubriceerde informatie afkomstig is, zoveel als mogelijk controle houdt over de betreffende informatie.
Artikel 11
Dit artikel omschrijft de procedures voor wanneer een persoon een bedrijf of overheidslocatie wenst te bezoeken, waarbij toegang tot nationale gerubriceerde gegevens nodig is.
Dit kan bijvoorbeeld het geval zijn, wanneer een medewerker van een Nederlands bedrijf in de uitvoering van een gerubriceerde opdracht de Poolse overheid of een Pools bedrijf wil bezoeken waarbij toegang tot (in dit geval Poolse) nationale gerubriceerde gegevens nodig is. In een dusdanig geval, wordt via de in dit artikel beschreven procedure bij de Nederlandse CSA nagegaan of de betrokkene op dat moment over een geldige veiligheidsmachtiging beschikt. Dit wordt vervolgens gemeld aan de Poolse CSA voorafgaand aan het bezoek en geldt als voorwaarde voor toegang tot de nationale (in dit geval Poolse) gerubriceerde gegevens. Deze procedure geldt dus tevens vice versa.
Artikel 12
Dit artikel beschrijft de te doorlopen procedure in het geval van (vermoedelijke) beveiligingsincidenten. Ook hier is een rol weggelegd voor de CSA van het land waar het beveiligingsincident (mogelijk) heeft plaatsgevonden. Deze CSA doet immers onderzoek naar dat beveiligingsincident. Waar nodig, werkt de CSA samen met de CSA van het andere land.
Artikel 16
Volgens dit artikel zijn CSA’s bevoegd om, indien daar aanleiding toe bestaat, nadere afspraken te maken ter uitvoering van het Verdrag. Als uiteengezet onder de toelichting op artikel 3, kan de CSA bepaalde verantwoordelijkheden uitbesteden aan de Beveiligingsautoriteit van het Ministerie van Defensie. In dit geval zal dat gebeuren voor nadere afspraken die benodigd zijn in het militaire domein. Vanwege het specifieke beleid dat het Ministerie van Defensie hanteert ten aanzien van beveiliging van gerubriceerde gegevens in het militaire domein, is het voor het Ministerie van Defensie noodzakelijk dat, indien er defensie of -industrie gerelateerde uitwisseling van gerubriceerde informatie voortvloeit uit dit Verdrag, er nadere afspraken gemaakt worden. Hiervoor, alsmede voor de implementatie van die afspraken, is het Ministerie van Defensie als eerste aanspreekpunt verantwoordelijk.
Artikel 17
Dit artikel bevat de gebruikelijke slotbepalingen.
In het vijfde lid is een bepaling opgenomen voor het geval het Verdrag beëindigd wordt. De nationale gerubriceerde gegevens die op het moment van beëindiging onder de reikwijdte van het Verdrag vallen, zullen de bescherming van het Verdrag behouden zolang ze een onder het Verdrag verkregen nationale rubricering behouden.
Bijlage I
In Bijlage I staan de CSA’s, als verantwoordelijke autoriteiten, voor Nederland en Polen opgenomen.
De Bijlage vormt een geïntegreerd onderdeel van het Verdrag en is van uitvoerende aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge artikel 7, onderdeel f van de Rijkswet goedkeuring en bekendmaking verdragen, geen parlementaire goedkeuring, tenzij de Staten-Generaal zich thans het recht tot goedkeuring terzake voorbehouden.
Een ieder verbindende bepalingen
Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten toekennen of plichten opleggen. Het gaat hierbij om artikel 8, eerste lid, en artikel 11, in verband met de positie van bedrijven aan of door wie die gerubriceerde opdrachten zijn verleend of waaraan men opdrachten wil gunnen.
Koninkrijkspositie
Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese en het Caribische deel van Nederland gelden. Dit is in lijn met de andere bilaterale beveiligingsverdragen die Nederland heeft gesloten (laatstelijk met de republiek Finland, Trb. 2022, nr. 20). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde opdrachten voor de Poolse overheid uit te voeren en maakt het tevens mogelijk om informatie die door de Poolse overheid wordt gedeeld met overheidsinstanties in het Caribische deel van Nederland te delen.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
H.G.J. Bruins Slot
De Minister van Buitenlandse Zaken,
W.B. Hoekstra
De Minister van Defensie,
K.H. Ollongren