The Kingdom of the Netherlands
and
the Republic of Bulgaria,
Hereinafter jointly referred to as “the Parties”, and each individually as “Party”,
In order to ensure the mutual protection of Classified Information have, in the interests of national security, agreed upon the following:
The purpose of this Agreement is to ensure the protection of Classified Information either exchanged between the Parties, between a Party and a Contractor under the jurisdiction of the other Party or between Contractors under the respective Parties’ different jurisdictions, or generated under this Agreement. This Agreement sets out the security procedures and arrangements for such protection.
For the purpose of this Agreement:
“Agreement” means this document including its Annex.
“Classified Contract” means any legally enforceable agreement to provide goods or services to be entered into by one of the Parties or a Contractor under its jurisdiction with a Contractor under the jurisdiction of the other Party, which contains Classified Information or the performance of which requires access or potential access to Classified Information. This includes pre-contractual activity.
“Classified Information” means any information, material or object, regardless of its form or nature, or any parts thereof, marked with a Security Classification Level by one of the Parties or with a Security Classification Level mutually determined by both Parties in accordance with this Agreement, the unauthorised disclosure, alteration, compromise or loss of which could cause varying degrees of damage or harm to the interests of one or both of the Parties.
“Competent Security Authority” means the government authority in a Party responsible for the implementation and supervision of this Agreement. The Competent Security Authority may delegate part of its responsibilities to a delegated Competent Security Authority in accordance with national laws and regulations.
“Contractor” means any individual (other than those engaged by a Party under a contract of employment), legal entity (including a sub-contractor) under the jurisdiction of a Party, entering into or bound by a Classified Contract.
“Facility Security Clearance” means the positive determination by the Competent Security Authority that a facility has in place appropriate security measures to access, handle and/or store Classified Information up to and including a specified Security Classification Level, in accordance with its national laws and regulations.
“Need to Know” means the requirement for an individual, legal entity or other form of organisation, to access, have knowledge of, or possess Classified Information in order to be able to perform their official duties or a specifically assigned task.
“Originating Party” means the Party under whose authority Classified Information has been created.
“Personnel Security Clearance” means the positive determination by the Competent Security Authority that an individual has been security cleared to access and handle Classified Information up to and including a specified Security Classification Level, in accordance with its national laws and regulations.
“Providing Entity” means the Party or Contractor under its jurisdiction, which provides Classified Information to the Receiving Entity under this Agreement.
“Receiving Entity” means the Party or Contractor under its jurisdiction, which receives Classified Information from the Providing Entity under this Agreement.
“Security Classification Guide” means a document associated with a Classified Contract specifying the applicable Security Classification Levels of each part of that Classified Contract.
“Security Classification Level” means the category which, in accordance with national laws and regulations, characterizes the importance of Classified information.
“Security Incident” means any unauthorised disclosure, alteration, compromise, loss, access, handling, storage or destruction of Classified Information, contrary to national laws and regulations of the Receiving Entity and/or this Agreement.
“Third Party” means any international organisation, government or state, including individuals, legal entities or other forms of organisation under its jurisdiction, which is not a Party to this Agreement.
The following Security Classification Levels of the Parties are equivalent and correspond to the Security Classification Levels specified in the Parties national laws and regulations. The English equivalent is not part of the national laws and regulations of the Parties and therefore is not legally binding and shall not be used to mark Classified Information.
|
СТРОГО СЕКРЕТНО |
Stg. ZEER GEHEIM |
TOP SECRET |
|
СЕКРЕТНО |
Stg. GEHEIM |
SECRET |
|
ПОВЕРИТЕЛНО |
Stg. CONFIDENTIEEL |
CONFIDENTIAL |
|
ЗА СЛУЖЕБНО ПОЛЗВАНЕ |
DEPARTEMENTAAL VERTROUWELIJK |
RESTRICTED |
The Receiving Entity shall mark all the Classified Information that it has received from the Providing Entity with the Receiving Entity’s Security Classification Level that corresponds to the Security Classification Level given by the Originating Party in accordance with the table contained in article 4 and, where applicable, in accordance with paragraph 4 of this article. The Receiving Entity shall apply its marking to the Security Classification Level of the Providing Entity in such a way that it is always clear who is the Originating Party.
The Receiving Entity shall not modify or revoke the Security Classification Level of received Classified Information under this Agreement without the written approval of the Originating Party.
The Originating Party shall ensure that the Receiving Entity will be informed of any change in the Security Classification Level of the Classified Information provided.
The Originating Party may additionally mark, the Classified Information with handling requirements, to specify any limitations on its use, disclosure, release and access by the Receiving Entity. Those additional markings shall be translated in English.
Classified Information jointly originated by the Parties shall be assigned a Security Classification Level that is mutually agreed upon by the Parties.
The Parties shall afford Classified Information exchanged or generated under this Agreement at least the same protection as they afford to their national Classified Information at the corresponding Security Classification Level.
In accordance with article 1, paragraph 2 of this Agreement, the Parties shall take all appropriate measures to ensure that the Providing Entity:
marks Classified Information with the appropriate Security Classification Level in accordance with its national laws and regulations;
informs the Receiving Entity of any conditions of release or limitations on the use of the Classified Information provided.
In accordance with article 1, paragraph 2 of this Agreement, the Parties shall take all appropriate measures to ensure that the Receiving Entity:
affords the same level of protection to Classified Information as afforded to its national Classified Information of an equivalent Security Classification Level;
ensures that Classified Information is not disclosed or released to a Third Party without the prior written consent of the Originating Party and if deemed necessary, on conditions;
uses Classified Information solely for the purpose it has been released for and in accordance with handling requirements of the Originating Party.
Access to Classified Information shall be granted only to those individuals who have a Need to Know, are briefed on their responsibilities for the protection of Classified Information, and have signed a statement of confidentiality in accordance with the national laws and regulations of the Receiving Entity.
In addition to the requirements in paragraph 1 of this article, access to Classified Information at the Security Classification Levels “ПОВЕРИТЕЛНО/Stg. CONFIDENTIEEL” and above, shall be granted only to those individuals who hold a Personnel Security Clearance at least at the corresponding level or who are otherwise duly authorized to access Classified Information by virtue of their function, in accordance with the national laws and regulations of the Receiving Entity.
Upon request of the Originating Party, the Competent Security Authority of the Receiving Entity shall inform the Competent Security Authority of the Originating Party whether a Contractor, under its jurisdiction and participating in a Classified Contract or pre-contractual negotiations regarding a Classified Contract, has been issued a Facility Security Clearance at the required Security Classification Level. If the Contractor does not, at that point, hold a Facility Security Clearance, or the Facility Security Clearance is at a lower level than that required, the Competent Security Authority receiving the request shall inform the requesting Competent Security Authority of that fact.
If a Party or a Contractor under its jurisdiction proposes to grant a Classified Contract at a Security Classification Level “ПОВЕРИТЕЛНО/Stg. CONFIDENTIEEL” or above, to a Contractor under the jurisdiction of the other Party, it shall first obtain written confirmation from the Competent Security Authority of the other Party that the Contractor has been granted a Facility Security Clearance at the appropriate Security Classification Level. For Classified Contracts at the Security Classification Level “ЗА СЛУЖЕБНО ПОЛЗВАНЕ/ DEPARTEMENTAAL VERTROUWELIJK”, a Facility Security Clearance may be required, if stipulated by national laws and regulations of the Party under whose jurisdiction the Contractor operates.
In accordance with article 1, paragraph 2 of this Agreement, the Party under whose jurisdiction the Classified Contract is to be performed shall ensure that the Contractor:
ensures that all individuals granted access to Classified Information are informed of their responsibilities to protect Classified Information in accordance with the conditions defined in this Agreement and in accordance with their national laws and regulations;
monitors the security conduct within its facilities;
notifies promptly its Competent Security Authority of any Security Incident relating to the Classified Contract.
In addition to the requirements in paragraph 3 of this article, for Classified Contracts at the Security Classification Levels “ПОВЕРИТЕЛНО/Stg. CONFIDENTIEEL” or above, the Competent Security Authority shall ensure that the Contractor holds a Facility Security Clearance at the corresponding Security Classification Level in order to protect the Classified Information and that the individuals requiring access to Classified Information hold a Personnel Security Clearance at the corresponding Security Classification Level.
Every Classified Contract shall include security requirements which identify the following aspects:
a Security Classification Guide;
a procedure for notification of changes in the Security Classification Level, taking into account article 5, paragraph 3 of this Agreement;
the channels and procedures to be used for the transport and/or transmission of Classified Information;
instructions for the handling, storage, destruction and returning of Classified Information;
contact details of the Competent Security Authorities responsible for overseeing the protection of Classified Information related to the Classified Contract;
the obligation to notify any Security Incidents to the Competent Security Authority of the Contractor and the obligation for Contractors to take all reasonable steps to assist in mitigating the effect of such a security violation, in consultation with the Competent Security Authority;
in case a Classified Contract in whole or in part is sub-contracted to a sub-Contractor, the obligation to impose all the stipulations concerning Contractors in this Agreement to the sub-Contractor;
a reference to this Agreement;
a statement that Classified Information exchanged or generated pursuant to the Classified Contract shall be protected by the Contractor in accordance with this Agreement and applicable laws and regulations.
If a Classified Contract is awarded, the Party or a Contractor under its jurisdiction shall, via its Competent Security Authority, forward a copy of the security requirements to the Competent Security Authority of the Receiving Entity, to facilitate the security oversight of the Classified Contract.
The procedures for the approval of visits associated with Classified Contract activities by personnel of one Party to the other Party, shall be in accordance with article 8 of this Agreement.
Visits requiring access to Classified Information at a Security Classification Level “ПОВЕРИТЕЛНО/Stg. CONFIDENTIEEL” or above are subject to the prior written consent of the Competent Security Authority of the host Party, unless otherwise agreed between the Competent Security Authorities. Such consent shall be given only to persons who have a Need to Know and who hold a valid Personnel Security Clearance at least at the corresponding level or who are otherwise duly authorised to access Classified Information by virtue of their function, in accordance with the national laws and regulations of the Receiving Entity. If mandated by national laws and regulations of the host Party, “ЗА СЛУЖЕБНО ПОЛЗВАНЕ/DEPARTEMENTAAL VERTROUWELIJK” level visits may be subject to the prior written consent of the Competent Security Authority of the host Party.
The visitor shall submit the request for visit at least ten calendar days in advance of the proposed date of the visit to their Competent Security Authority, which shall forward it to the Competent Security Authority of the other Party. In urgent cases, the Competent Security Authorities may agree on a shorter period.
Requests for visits shall include:
full name of the visitor, date and place of birth, nationality and passport/ID card number;
official title and present position of the visitor and name of the organization the visitor represents;
confirmation of the visitor’s Personnel Security Clearance and its level and validity;
date and duration of the visit. In the case of recurring visits the total period covered by the visits shall be stated;
purpose of the visit and the anticipated highest Security Classification Level of Classified Information to be discussed or accessed;
name, address, phone number, e-mail address of the point of contact of the facility to be visited;
dated and stamped signature of a representative of the visitor’s Competent Security Authority.
The Competent Security Authorities may agree on a list of visitors entitled to recurring visits for a period not exceeding twelve months. The Competent Security Authorities shall agree on the further details of the recurring visits.
The Competent Security Authority of the host Party shall inform the security officials of the facility to be visited, of the details of those individuals whose visit request has been approved. Once approval has been given, visit arrangements for individuals who have been given approval for recurring visits may be made directly with the facility concerned.
Classified Information provided to or acquired by a visitor shall be handled in accordance with the provisions of this Agreement.
The Parties shall ensure, pursuant to their national laws and regulations, the protection of the personal data of the individuals requesting for a visit requiring access to Classified Information. This personal data shall not be used for any other purpose than determining on the request for (recurring) visit.
Reproductions and translations of Classified Information shall be marked and placed under the same protection as the original Classified Information.
Reproductions and translations shall be limited to the minimum amount required for use under this Agreement.
Classified Information marked at the Security Classification Level “СТРОГО СЕКРЕТНО/Stg. ZEER GEHEIM” shall not be reproduced or translated without the prior written consent of the Originating Party.
Classified Information marked at the Security Classification Level “СТРОГО СЕКРЕТНО/Stg. ZEER GEHEIM” shall be destroyed only with the prior written consent of the Originating Party. By default, it shall be returned to the Originating Party after it is no longer considered necessary by the Receiving Entity.
Classified Information marked up to and including the Security Classification Level “СЕКРЕТНО/Stg. GEHEIM” shall be destroyed after it is no longer considered necessary by the Receiving Entity.
If a crisis situation makes it impossible for a Receiving Entity to protect Classified Information provided under this Agreement, the Classified Information shall be destroyed immediately. The Receiving Entity shall, via its Competent Security Authority, notify the Competent Security Authority of the Originating Party as soon as possible and in writing of the destruction of this Classified Information.
The Competent Security Authorities shall, on request, inform each other about changes in their national laws and regulations, policies and practices for protecting Classified Information.
On request of the Competent Security Authority of one Party, the Competent Security Authority of the other Party shall issue a written confirmation within 5 working days that a valid Personnel Security Clearance or Facility Security Clearance has been issued.
The Competent Security Authorities of the Parties shall recognize Personnel Security Clearances and Facility Security Clearances which are issued in accordance with the national laws and regulations of the other Party and within the scope of this Agreement.
The Competent Security Authorities shall assist each other in carrying out Facility Security Clearance and Personnel Security Clearance investigations on request and in accordance with their national laws and regulations.
In case a Security Incident of the Classified Information of the Originating Party is suspected or ascertained by the Receiving Entity, it shall inform its Competent Security Authority in writing as soon as possible. The notice must contain sufficient details for the Originating Party to assess the consequences and circumstances of the suspected or actual violation.
The Competent Security Authorities shall immediately inform each other in writing of any actual or potential Security Incident involving Classified Information.
The Receiving Entity shall immediately investigate any actual or potential Security Incident. The Competent Security Authority of the Originating Party shall, if required, cooperate in the investigation.
The Competent Security Authority of the Receiving Entity shall take appropriate measures in accordance with its national laws and regulations to limit the consequences and to prevent a recurrence of the Security Incident. The Competent Security Authority of the Originating Party shall be informed of the outcome of the investigation and, if any, of the measures taken.
Each Party shall bear its own costs incurred in the course of implementing and executing its obligations under this Agreement, unless otherwise mutually determined by the Parties.
Any dispute arising from the interpretation, implementation or application of this Agreement shall be settled exclusively through consultation or negotiations between the Parties and shall not be referred to any national or international tribunal or other entity for resolution.
Each Party shall notify the other Party through diplomatic channels once the national procedures necessary for entry into force of this Agreement have been completed. This Agreement shall enter into force on the first day of the second month following the receipt of the latter notification.
With regard to the Kingdom of the Netherlands, this Agreement shall apply to the European part of the Netherlands and the Caribbean part of the Netherlands (the islands of Bonaire, Sint Eustatius and Saba).
This Agreement, including its Annex, may be amended with the mutual consent of the Parties. Either Party may propose amendments to this Agreement at any time through diplomatic channels. Such amendments shall enter into force under the conditions laid down in paragraph 2 of this article, with the exception of an amendment to the Annex, which amendment shall enter into force in accordance with national laws and regulations on a date to be agreed upon by the Parties.
IN WITNESS whereof the representatives of the Parties, duly authorised thereto, have signed this Agreement.
DONE in Sofia on 19 March 2026, in two original copies, each in Bulgarian, Dutch and English languages, all texts being authentic. In case of divergence of interpretation, the English text shall prevail.
For the Kingdom of the Netherlands,
A.P. DEN HARTOG
For the Republic of Bulgaria,
P.S. GROSHLEV
The Competent Security Authority for the Republic of Bulgaria is:
State Commission on Information Security
The Competent Security Authority for the Kingdom of the Netherlands is:
Civil National Security Authority
General Intelligence and Security Service
Ministry of the Interior and Kingdom Relations
The delegated Competent Security Authority for the Kingdom of the Netherlands in the military domain is:
Military National Security Authority
Defence Security Authority
Directorate-General of Policy
Ministry of Defence
Het Koninkrijk der Nederlanden
en
de Republiek Bulgarije,
Hierna gezamenlijk te noemen „de partijen” en elk afzonderlijk „partij”,
Geleid door de wens de wederzijdse beveiliging van gerubriceerde gegevens te waarborgen, in het belang van de nationale veiligheid, zijn het volgende overeengekomen:
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen, tussen een partij en een opdrachtnemer onder de rechtsmacht van de andere partij, of tussen opdrachtnemers onder de onderscheiden rechtsmacht van de respectieve partijen, of die worden gegenereerd in het kader van dit Verdrag. In dit Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.
Voor de toepassing van dit Verdrag wordt verstaan onder:
„Verdrag”, dit document met inbegrip van de Bijlage daarbij.
„Gerubriceerd contract”, elke wettelijk afdwingbare overeenkomst voor het leveren van goederen of diensten die een van de partijen of een opdrachtnemer onder haar rechtsmacht aangaat met een opdrachtnemer onder de rechtsmacht van de andere partij, die gerubriceerde gegevens bevat of waarbij voor de uitvoering toegang of mogelijk toegang vereist is tot gerubriceerde gegevens. Dit omvat tevens precontractuele activiteiten.
„Gerubriceerde gegevens”, gegevens, materiaal of voorwerpen, ongeacht de vorm of aard daarvan, of delen daarvan die of dat door een van de partijen is voorzien van een rubriceringsniveau of van een rubriceringsniveau dat gezamenlijk wordt bepaald door beide partijen in overeenstemming met dit Verdrag, waarvan de ongeoorloofde bekendmaking, verandering, compromittering of het verlies de belangen van een of beide partijen in meerdere of mindere mate zou kunnen schaden.
„Bevoegde beveiligingsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de implementatie van en toezicht op dit Verdrag. De bevoegde beveiligingsautoriteit kan een deel van haar verantwoordelijkheden delegeren aan een gemachtigde bevoegde beveiligingsautoriteit in overeenstemming met de nationale wet- en regelgeving.
„Opdrachtnemer”, elke persoon (anders dan degenen die door een partij in dienst zijn genomen op grond van een arbeidsovereenkomst) of rechtspersoon (met inbegrip van een onderopdrachtnemer) onder de rechtsmacht van een partij, die een gerubriceerd contract aangaat of er door gebonden is.
„Veiligheidsmachtiging bedrijfslocatie”, de vaststelling door de bevoegde beveiligingsautoriteit dat een bedrijfslocatie passende veiligheidsmaatregelen heeft genomen voor de toegang tot, omgang met en/of opslag van gerubriceerde gegevens, tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
„Need to know”, het vereiste voor een natuurlijke persoon, rechtspersoon of andere organisatievorm voor toegang tot, kennis van of bezit van gerubriceerde gegevens voor het uitvoeren van hun officiële werkzaamheden of van een specifieke taak.
„Partij van herkomst”, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd.
„Veiligheidsmachtiging personeel”, de vaststelling door de bevoegde beveiligingsautoriteit dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.
„Verstrekkende entiteit”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende entiteit.
„Ontvangende entiteit”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt van de verstrekkende entiteit.
„Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin de van toepassing zijnde rubriceringsniveaus voor elk onderdeel van dat gerubriceerd contract worden gespecificeerd.
„Rubriceringsniveau”, de categorie die, in overeenstemming met de nationale wet- en regelgeving, het belang aanduidt van de gerubriceerde gegevens.
„Beveiligingsincident”, elk(e) ongeoorloofd(e) bekendmaking, verandering, compromittering, verlies, opslag of vernietiging van gerubriceerde gegevens in strijd met de nationale wet- en regelgeving van de ontvangende entiteit en/of dit Verdrag.
„Derde”, elke internationale organisatie, regering of staat, met inbegrip van natuurlijke personen, rechtspersonen of andere organisatievormen onder zijn rechtsmacht die geen partij is bij dit Verdrag.
De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in de nationale wet- en regelgeving van de partijen staan. Het Engelse equivalent maakt geen deel uit van de nationale wet- en regelgeving van de partijen en is derhalve niet juridisch bindend en dient niet gebruikt te worden om gerubriceerde gegevens aan te duiden.
|
ЗА СЛУЖЕБНО ПОЛЗВАНЕ |
DEPARTEMENTAAL VERTROUWELIJK |
RESTRICTED |
|
ПОВЕРИТЕЛНО |
Stg. CONFIDENTIEEL |
CONFIDENTIAL |
|
СЕКРЕТНО |
Stg. GEHEIM |
SECRET |
|
СТРОГО СЕКРЕТНО |
Stg. ZEER GEHEIM |
TOP SECRET |
De ontvangende entiteit voorziet alle gerubriceerde gegevens die zij ontvangen heeft van de verstrekkende entiteit, van het rubriceringsniveau van de ontvangende entiteit dat overeenkomt met het door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met de tabel in artikel 4 en, in voorkomend geval, in overeenstemming met het vierde lid van dit artikel. De ontvangende entiteit voegt haar markering toe aan het rubriceringsniveau van de verstrekkende entiteit zodanig dat het altijd duidelijk is wie de partij van herkomst is.
De ontvangende entiteit zal het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens niet veranderen of intrekken zonder de schriftelijke goedkeuring van de partij van herkomst.
De partij van herkomst waarborgt dat de ontvangende entiteit op de hoogte wordt gebracht van elke verandering van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.
De partij van herkomst kan de gerubriceerde gegevens tevens voorzien van vereisten voor de omgang ermee, om eventuele beperkingen te stellen aan het gebruik, de bekendmaking, vrijgave en toegang door de ontvangende entiteit. Deze aanvullende markeringen dienen in het Engels te worden vertaald.
Gerubriceerde gegevens die gezamenlijk worden aangemaakt door de partijen krijgen een rubriceringsniveau toegekend dat gezamenlijk wordt overeengekomen door de partijen.
De partijen kennen aan gerubriceerde gegevens die uit hoofde van dit Verdrag worden uitgewisseld of gegenereerd ten minste dezelfde beveiliging toe als aan hun nationale gerubriceerde gegevens met een overeenkomstig rubriceringsniveau.
Overeenkomstig het tweede lid van artikel 1 van dit Verdrag nemen de partijen alle passende maatregelen om te waarborgen dat de verstrekkende entiteit:
de gerubriceerde gegevens voorziet van het juiste rubriceringsniveau in overeenstemming met haar nationale wet- en regelgeving;
de ontvangende entiteit in kennis stelt van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens.
In overeenstemming met artikel 1, tweede lid, van dit Verdrag nemen de partijen alle passende maatregelen om te waarborgen dat de verstrekkende entiteit:
hetzelfde beveiligingsniveau toekent aan gerubriceerde gegevens als aan hun nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau;
waarborgt dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
de gerubriceerde gegevens uitsluitend gebruikt voor het doel waarvoor zij zijn vrijgegeven en in overeenstemming met de eisen voor gebruik van de partij van herkomst.
Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden voor de beveiliging van gerubriceerde gegevens en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit.
In aanvulling op de vereisten van het eerste lid van dit artikel wordt toegang tot gerubriceerde gegevens met het rubriceringsniveau “ПОВЕРИТЕЛНО/Stg. CONFIDENTIEEL” en hoger uitsluitend verleend aan de natuurlijke personen die een veiligheidsmachtiging personeel hebben op ten minste het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie, in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit.
Op verzoek van de partij van herkomst deelt de bevoegde beveiligingsautoriteit van de ontvangende entiteit aan de bevoegde beveiligingsautoriteit van de partij van herkomst mee of een opdrachtnemer die onder haar rechtsmacht valt en deelneemt aan een gerubriceerd contract of precontractuele onderhandelingen inzake een gerubriceerd contract, een veiligheidsmachtiging bedrijfslocatie heeft gekregen op het vereiste rubriceringsniveau. Indien de opdrachtnemer niet, op dat moment, over een veiligheidsmachtiging bedrijfslocatie beschikt, of de veiligheidsmachtiging bedrijfslocatie van een lager niveau is dan vereist, stelt de bevoegde beveiligingsautoriteit die het verzoek ontvangt de verzoekende bevoegde beveiligingsautoriteit van dat feit op de hoogte.
Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract met het rubriceringsniveau “ПОВЕРИТЕЛНО/ Stg. CONFIDENTIEEL” of hoger te gunnen aan een opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de bevoegde beveiligingsautoriteit van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie is toegekend met het vereiste rubriceringsniveau. Voor gerubriceerde contracten met het rubriceringsniveau “ЗА СЛУЖЕБНО ПОЛЗВАНЕ/ DEPARTEMENTAAL VERTROUWELIJK” kan een veiligheidsmachtiging bedrijfslocatie vereist zijn indien dit verplicht wordt gesteld in de nationale wet- en regelgeving van de partij onder wier rechtsmacht de opdrachtnemer zijn activiteiten uitvoert.
In overeenstemming met artikel 1, tweede lid, van dit Verdrag waarborgt de partij onder wier rechtsmacht het gerubriceerde contract dient te worden uitgevoerd dat de opdrachtnemer:
waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en met hun nationale wet- en regelgeving;
de beveiligingsuitvoering op zijn locaties in het oog houdt;
zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elk beveiligingsincident dat betrekking heeft op het gerubriceerd contract.
In aanvulling op de vereisten van het derde lid van dit artikel, met betrekking tot gerubriceerde contracten met het rubriceringsniveaus “ПОВЕРИТЕЛНО/Stg. CONFIDENTIEEL of hoger, waarborgt de bevoegde beveiligingsautoriteit dat de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie bezit met het overeenkomstige rubriceringsniveau teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel met het overeenkomstige rubriceringsniveau hebben.
Elk gerubriceerd contract dient beveiligingsvereisten te bevatten waarin de volgende aspecten vermeld staan:
een rubriceringsgids;
een procedure voor het doorgeven van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 5, derde lid, van dit Verdrag;
de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van gerubriceerde gegevens;
instructies voor de omgang met, opslag, vernietiging en retourneren van gerubriceerde gegevens;
contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
de verplichting elk beveiligingsincident te melden bij de bevoegde beveiligingsautoriteit van de opdrachtnemer en de verplichting voor opdrachtnemers om alle redelijke maatregelen te nemen om het gevolg van een dergelijke inbreuk op de beveiliging te verminderen, in overleg met de bevoegde beveiligingsautoriteit;
wanneer een gerubriceerd contract geheel of gedeeltelijk wordt uitbesteed aan een onderaannemer, de verplichting om alle bepalingen betreffende onderaannemers in dit Verdrag op te leggen aan de onderaannemer;
een verwijzing naar dit Verdrag;
een verklaring dat gerubriceerde gegevens die in het kader van het gerubriceerde contract worden uitgewisseld of gegenereerd, door de opdrachtnemer worden beschermd in overeenstemming met dit Verdrag en de toepasselijke wet- en regelgeving.
Indien een gerubriceerd contract wordt toegekend, zal de partij of een opdrachtnemer onder haar rechtsmacht, via haar bevoegde beveiligingsautoriteit een kopie sturen van de beveiligingsvereisten naar de bevoegde beveiligingsautoriteit van de ontvangende entiteit, om het toezicht op de beveiliging op het gerubriceerde contract te vergemakkelijken.
De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 8 van dit Verdrag te zijn.
Bezoeken waarbij toegang tot gerubriceerde gegevens met het rubriceringsniveau „ПОВЕРИТЕЛНО/ Stg. CONFIDENTIEEL” of hoger vereist is, dienen vooraf schriftelijk te worden goedgekeurd door de bevoegde beveiligingsautoriteit van de als gastheer optredende partij, tenzij anderszins overeengekomen door de bevoegde beveiligingsautoriteiten. Deze goedkeuring wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know) en die een veiligheidsmachtiging personeel hebben op ten minste het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie, in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit. Indien dit verplicht is volgens de nationale wet- en regelgeving van de als gastheer optredende partij kunnen bezoeken op het niveau „ЗА СЛУЖЕБНО ПОЛЗВАНЕ/DEPARTEMENTAAL VERTROUWELIJK” onderworpen zijn aan voorafgaande schriftelijke toestemming van de bevoegde beveiligingsautoriteit van de als gastheer optredende partij.
De bezoeker dient de aanvraag voor het bezoek ten minste tien kalenderdagen vóór de beoogde datum van het bezoek in bij zijn bevoegde beveiligingsautoriteit, die de aanvraag doorstuurt naar de bevoegde beveiligingsautoriteit van de andere partij. In dringende gevallen kunnen de bevoegde beveiligingsautoriteiten een kortere termijn overeenkomen.
Een aanvraag voor een bezoek dient de volgende gegevens te bevatten:
volledige naam van de bezoeker, geboortedatum en -plaats, nationaliteit en nummer paspoort/identiteitskaart;
officiële functiebenaming en huidige functie van de bezoeker en de naam van de organisatie die de bezoeker vertegenwoordigt;
bevestiging van de veiligheidsmachtiging personeel van de bezoeker en het niveau en de geldigheid ervan;
datum en duur van het bezoek. In het geval van herhalingsbezoeken dient de volledige periode waarin de bezoeken plaatsvinden te worden vermeld;
doel van het bezoek en het verwachte hoogste rubriceringsniveau van de gerubriceerde gegevens die besproken worden of waartoe toegang wordt verkregen;
naam, adres, telefoonnummer, e-mailadres van het contactpunt van de te bezoeken locatie;
van een datum en stempel voorziene handtekening van een vertegenwoordiger van de bevoegde beveiligingsautoriteit van de bezoeker.
De bevoegde beveiligingsautoriteiten kunnen een lijst overeenkomen van bezoekers die herhalingsbezoeken mogen afleggen gedurende een periode van niet langer dan twaalf maanden. De bevoegde beveiligingsautoriteiten komen nadere details van de herhalingsbezoeken overeen.
De bevoegde beveiligingsautoriteit van de partij die als gastheer optreedt stelt de beveiligingsbeambten van de te bezoeken bedrijfslocatie in kennis van de gegevens van de natuurlijke personen van wie het bezoek is goedgekeurd. Wanneer de goedkeuring eenmaal is verleend, kunnen de praktische aspecten van het bezoek van natuurlijke personen die herhalingsbezoeken mogen afleggen rechtstreeks geregeld worden met de betrokken bedrijfslocatie.
Gerubriceerde gegevens die aan een bezoeker worden verstrekt of door deze worden verkregen, worden behandeld in overeenstemming met de bepalingen van dit Verdrag.
De partijen waarborgen, in overeenstemming met hun nationale wet- en regelgeving, de beveiliging van de persoonsgegevens van de individuen die een bezoek willen brengen waarbij toegang tot gerubriceerde gegevens nodig is. Deze persoonsgegevens worden niet gebruikt voor enig ander doel dan het besluit over de aanvraag voor (herhalings)bezoeken.
Reproducties en vertalingen van gerubriceerde gegevens krijgen dezelfde markeringen en beveiliging als de oorspronkelijke gerubriceerde gegevens.
Reproducties en vertalingen worden beperkt tot het minimumaantal dat nodig is voor gebruik uit hoofde van dit Verdrag.
Gerubriceerde gegevens met het rubriceringsniveau „СТРОГО СЕКРЕТНО/Stg. ZEER GEHEIM, worden niet gereproduceerd of vertaald zonder voorafgaande schriftelijke toestemming van de partij van herkomst.
Gerubriceerde gegevens met het rubriceringsniveau „СТРОГО СЕКРЕТНО/Stg. ZEER GEHEIM worden alleen vernietigd met voorafgaande schriftelijke toestemming van de partij van herkomst. Zij worden standaard geretourneerd aan de partij van herkomst nadat de ontvangende entiteit ze niet meer nodig acht.
Gerubriceerde gegevens tot en met rubriceringsniveau „СЕКРЕТНО/Stg. GEHEIM” worden vernietigd nadat de ontvangende entiteit ze niet meer nodig acht.
Indien een crisissituatie het een ontvangende entiteit onmogelijk maakt de uit hoofde van dit Verdrag verstrekte gerubriceerde gegevens te beveiligen, dienen de gerubriceerde gegevens onmiddellijk vernietigd te worden. De ontvangende partij stelt, via haar bevoegde beveiligingsautoriteit, de bevoegde beveiligingsautoriteit van de verstrekkende partij zo spoedig mogelijk schriftelijk in kennis van de vernietiging van deze gerubriceerde gegevens.
De bevoegde beveiligingsautoriteiten stellen elkaar, op verzoek, in kennis van veranderingen in hun nationale wet- en regelgeving, beleid en praktijken met betrekking tot de beveiliging van gerubriceerde gegevens.
Op verzoek van de bevoegde beveiligingsautoriteit van de ene partij bevestigt de bevoegde beveiligingsautoriteit van de andere partij schriftelijk binnen 5 werkdagen dat er een geldige veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie is afgegeven.
De bevoegde beveiligingsautoriteiten van de partijen erkennen de veiligheidsmachtigingen personeel en veiligheidsmachtigingen bedrijfslocatie die overeenkomstig de nationale wet- en regelgeving van de andere partij en binnen de reikwijdte van dit Verdrag zijn afgegeven.
De bevoegde beveiligingsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met hun nationale wet- en regelgeving, bijstand bij het uitvoeren van onderzoeken in verband met de afgifte van een veiligheidsmachtiging bedrijfslocatie of veiligheidsmachtiging personeel.
Indien een beveiligingsincident met betrekking tot de gerubriceerde gegevens van de partij van herkomst wordt vermoed of vastgesteld door de ontvangende entiteit, stelt zij haar bevoegde beveiligingsautoriteit daarvan zo spoedig mogelijk schriftelijk in kennis. De kennisgeving dient voldoende gedetailleerde informatie te bevatten om de partij van herkomst in staat te stellen de consequenties en omstandigheden van de vermoede of vastgestelde inbreuk te beoordelen.
De bevoegde beveiligingsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van een feitelijk of potentieel beveiligingsincident waarbij gerubriceerde gegevens betrokken zijn.
De ontvangende entiteit onderzoekt feitelijke of vermoedelijke beveiligingsincidenten onmiddellijk. De bevoegde beveiligingsautoriteit van de partij van herkomst verleent, indien vereist, medewerking aan het onderzoek.
De bevoegde beveiligingsautoriteit van de ontvangende entiteit neemt passende maatregelen in overeenstemming met haar nationale wet- en regelgeving om de gevolgen van het beveiligingsincident te beperken en om herhaling ervan te voorkomen. De bevoegde beveiligingsautoriteit van de partij van herkomst wordt in kennis gesteld van de uitkomsten van het onderzoek en de eventuele getroffen maatregelen.
Elke partij draagt haar eigen kosten die ontstaan in verband met de implementatie en tenuitvoerlegging van haar verplichtingen ingevolge dit Verdrag, tenzij de partijen anderszins overeenkomen.
Elk geschil dat voortvloeit uit de uitlegging, uitvoering of toepassing van dit Verdrag wordt uitsluitend door middel van overleg of onderhandelingen tussen de partijen opgelost en niet ter beslechting voorgelegd aan een nationaal of internationaal scheidsgerecht of een andere entiteit.
Elke partij stelt de andere partij langs diplomatieke weg in kennis van de voltooiing van de nationale procedures die nodig zijn voor de inwerkingtreding van dit Verdrag. Dit Verdrag treedt in werking op de eerste dag van de tweede maand die volgt op de ontvangst van de laatste kennisgeving.
Ten aanzien van het Koninkrijk der Nederlanden is dit Verdrag van toepassing op het Europese deel van Nederland en op het Caribische deel van Nederland (de eilanden Bonaire, Sint Eustatius en Saba).
Dit Verdrag, met inbegrip van de Bijlage daarbij, kan met wederzijdse instemming van de partijen worden gewijzigd. Elke partij kan op elk moment langs diplomatieke weg wijzigingen van dit Verdrag voorstellen. Dergelijke wijzigingen treden in werking onder de voorwaarden vervat in het tweede lid van dit artikel, met uitzondering van een wijziging van de Bijlage, welke in werking treedt in overeenstemming met de nationale wet- en regelgeving op een door de partijen overeen te komen datum.
TEN BLIJKE WAARVAN de vertegenwoordigers van de partijen, daartoe naar behoren gemachtigd, dit Verdrag hebben ondertekend.
GEDAAN te Sofia op 19 maart 2026, in twee oorspronkelijke exemplaren, elk in de Bulgaarse, de Nederlandse en de Engelse taal, waarbij alle teksten gelijkelijk authentiek zijn. In geval van verschil in interpretatie is de Engelse tekst doorslaggevend.
Voor het Koninkrijk der Nederlanden,
A.P. DEN HARTOG
Voor de Republiek Bulgarije,
P.S. GROSHLEV
De bevoegde beveiligingsautoriteit van de Republiek Bulgarije is:
De Staatscommissie inzake informatiebeveiliging
De bevoegde beveiligingsautoriteit van het Koninkrijk der Nederlanden is:
De civiele Nationale Beveiligingsautoriteit
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD)
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
De gemachtigde bevoegde beveiligingsautoriteit van het Koninkrijk der Nederlanden voor het militaire domein is:
De militaire Nationale Beveiligingsautoriteit
De Beveiligingsautoriteit
Directoraat-Generaal Beleid
Ministerie van Defensie