Verdrag tussen het Koninkrijk der Nederlanden en het Groothertogdom Luxemburg inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens

1

The purpose of this Agreement is to ensure the protection of Classified Information either exchanged between the Parties, between a Party and a Contractor under the jurisdiction of the other Party or between Contractors under the respective Parties’ jurisdictions, or generated under this Agreement. This Agreement sets out the security procedures and arrangements for such protection.

2

The Parties shall take all appropriate measures under their national laws and regulations to ensure the protection of Classified Information in accordance with this Agreement.

3

This Agreement shall apply to any activities, contracts or agreements involving Classified Information that will be conducted or concluded between the Parties following the entering into force of this Agreement.

4

This Agreement does not constitute a basis to compel the provision or exchange of Classified Information by the Parties.

1

The Competent Security Authorities of the Parties are listed in the Annex of this Agreement.

2

The Competent Security Authorities shall provide each other with official contact details and changes thereof.

1

The Parties undertake to protect Classified Information exchanged between them and agree that the following security classification levels shall be equivalent. The informal translation in English of the Parties’ respective security classification levels, is not part of the national laws and regulations of the Parties and shall not be used to mark Classified Information.

1

In accordance with their national laws and regulations, the Parties shall ensure the implementation of appropriate measures to protect Classified Information, which is generated or exchanged under this Agreement. Each Party shall afford to such Classified Information at least the same level of protection as afforded to their own Classified Information of the equivalent security classification levels as set forth in Article 4 of this Agreement.

2

When such Classified Information is processed, stored or transmitted via communication and information systems, these measures shall guarantee the confidentiality, integrity, availability, non-repudiation, authenticity and traceability of access to Classified Information. The Parties shall ensure that such Classified Information is stored and handled in accordance with their national laws and regulations.

3

Any Classified Information released under this Agreement shall be marked with the appropriate security classification level in accordance with the national laws and regulations of the Originating Party.

4

The Receiving Entity shall apply its own security classification to all Classified Information received from the Providing Entity under this Agreement, at the equivalent security classification level in accordance with the scheme contained in article 4, in such a way that it is always clear who the Originating Party is.

5

Where the form or nature of the Classified Information does not allow such marking by the Receiving Entity to apply its own corresponding security classification level, the Competent Security Authorities shall decide whether the marking by the Originating Party suffices.

6

The Receiving Entity shall not modify or revoke the security classification of received Classified Information under this Agreement without the written approval of the Originating Party.

7

The Originating Party shall ensure that the Receiving Entity will be informed of any change in the security classification level of the Classified Information provided, in order to apply the appropriate protection measures.

8

The Originating Party may add handling requirements, in English, on the Classified Information, to specify any limitations on its use, disclosure, release and access by the Receiving Entity.

9

The Parties shall take all appropriate measures to ensure that the Receiving Entity:

• a)

  ensures that Classified Information is not disclosed or released to a Third Party without the prior written consent of the Originating Party;

• b)

  uses Classified Information solely for the purpose it has been released for and within the limitations stated by the Originating Party.

1

Access to Classified Information shall be granted only to those individuals who have a Need to Know, are briefed on their responsibilities for the protection of Classified Information, and have acknowledged their responsibilities to protect Classified Information in accordance with the national laws and regulations of the Receiving Entity.

2

In addition to the requirements in paragraph 1 of this article, access to Classified Information marked as CONFIDENTIEL LUX/Stg. CONFIDENTIEEL and above, shall be granted only to those individuals who hold a Personnel Security Clearance at least at the corresponding level or who are otherwise duly authorized to access Classified Information by virtue of their function in accordance with the national laws and regulations of the Receiving Entity.

1

Upon request of the Originating Party, the Competent Security Authority of the Receiving Entity shall inform the Competent Security Authority of the Originating Party whether a Contractor, under its jurisdiction and participating in a Classified Contract or precontractual negotiations regarding a Classified Contract and requiring access to Classified Information, has been issued a Facility Security Clearance at the required security classification level. If the Contractor does not, at that point, hold a Facility Security Clearance, or the Facility Security Clearance is at a lower level than that required, the requesting Competent Security Authority shall be informed thereof.

2

If a Party or a Contractor under its jurisdiction proposes to award a Classified Contract involving access to Classified Information marked as CONFIDENTIEL LUX/Stg. CONFIDENTIEEL or above, to a Contractor under the jurisdiction of the other Party, it shall first obtain written confirmation from the Competent Security Authority of the other Party that the Contractor has been granted a Facility Security Clearance at the appropriate security classification level. For Classified Contracts at the security classification level equivalent to RESTREINT LUX/DEPARTEMENTAAL VERTROUWELIJK, a Facility Security Clearance may be required, in accordance with national laws and regulations of the Party under whose jurisdiction the Contractor operates.

3

The Competent Security Authority of the Party having jurisdiction over the Contractor shall ensure that the Contractor:

• a)

  ensures that all individuals granted access to Classified Information are informed of their responsibilities to protect Classified Information in accordance with their national laws and regulations as well as with this Agreement;

• b)

  monitors the security conduct within its facilities;

• c)

  notifies promptly its Competent Security Authority of any Security Incident relating to the Classified Contract.

4

In addition to the requirements in paragraph 3 of this article, for Classified Contracts involving access to Classified Information marked as CONFIDENTIEL LUX/Stg. CONFIDENTIEEL or above, the Competent Security Authority shall ensure that the Contractor holds a Facility Security Clearance at the corresponding security classification level in order to protect the Classified Information and that the individuals requiring access to Classified Information hold a Personnel Security Clearance at the corresponding security classification level.

5

Every Classified Contract shall include security requirements which identify the following aspects:

• a)

  a Security Classification Guide;

• b)

  a procedure for notification of changes in the security classification level, taking into account article 5, paragraph 7 of this Agreement;

• c)

  the channels and procedures to be used for the transport and/or transmission of Classified Information;

• d)

  instructions for the handling, storage, destruction and returning of Classified Information;

• e)

  contact details of the Competent Security Authorities responsible for overseeing the protection of Classified Information related to the Classified Contract;

• f)

  the obligation to notify any Security Incidents to the Competent Security Authority of the Contractor and the obligation for Contractors to take all reasonable steps to assist in mitigating the effect of such a security violation, in consultation with the Competent Security Authority;

• g)

  in case a Classified Contract is sub-contracted, in whole or in part, to a sub-Contractor, the obligation to impose all the stipulations concerning Contractors in this Agreement to the sub-Contractor;

• h)

  a reference to this Agreement;

• i)

  a statement that Classified Information exchanged or generated pursuant to the Classified Contract shall be protected by the Contractor in accordance with the applicable national laws and regulations as well as with this Agreement.

6

If a Classified Contract is awarded, the Party or a Contractor under its jurisdiction shall, via its Competent Security Authority, forward a copy of the security requirements referred to in paragraph 5 of this Article to the Competent Security Authority of the Receiving Entity, to facilitate the security oversight of the Classified Contract.

7

The procedures for the approval of visits associated with Classified Contract activities by personnel of one Party to the other Party, shall be in accordance with article 8 of this Agreement.

1

Visits requiring access to Classified Information marked as CONFIDENTIEL LUX/Stg. CONFIDENTIEEL or above are subject to the prior written consent of the Competent Security Authority of the host Party, unless otherwise agreed between the Competent Security Authorities. Such consent shall be given only to individuals referred to in article 6 of this Agreement. With respect to visits requiring access to Classified Information marked as RESTREINT LUX/DEPARTEMENTAAL VERTROUWELIJK, the prior written consent of the Competent Security Authority of the host Party may be required, in accordance with the national laws and regulations of the Party under whose jurisdiction the visit occurs.

2

The visitor shall submit the request for a visit at least ten calendar days in advance of the proposed date of the visit to his Competent Security Authority, which shall forward it to the Competent Security Authority of the other Party. In urgent cases, the Competent Security Authorities may agree on a shorter period.

3

The request for a visit shall include:

• a)

  full name of the visitor, date and place of birth, nationality and passport/ID card number;

• b)

  official title and present position of the visitor and name of the organization the visitor represents or to which the visitor belongs;

• c)

  confirmation of the visitor’s Personnel Security Clearance and its level and validity;

• d)

  date and duration of the visit. In the case of recurring visits, the total period covered by the visits shall be stated;

• e)

  purpose of the visit and the anticipated highest security classification level of Classified Information to be discussed or accessed;

• f)

  name, address, phone number, e-mail address of the point of contact of the facility to be visited;

• g)

  dated and stamped signature of a representative of the visitor’s Competent Security Authority.

4

The Competent Security Authorities may agree on a list of visitors entitled to recurring visits for a period not exceeding twelve months. The Competent Security Authorities shall agree on the further details of the recurring visits.

5

The Competent Security Authority of the host Party shall inform the security officials of the facility to be visited, of the details of those individuals whose visit request has been approved. Once approval has been given, visit arrangements for individuals who have been given approval for recurring visits may be made directly with the facility concerned.

6

Classified Information provided to or acquired by a visitor shall be handled in accordance with the provisions of this Agreement.

1

Classified Information marked as CONFIDENTIEL LUX/Stg. CONFIDENTIEEL or above shall be transferred by means of diplomatic, government or military couriers, or by any other means agreed upon in advance by the Competent Security Authorities, in accordance with their national laws and regulations.

2

Classified Information marked as RESTREINT LUX/DEPARTEMENTAAL VERTROUWELIJK may be transferred by postal services in accordance with the national laws and regulations.

3

Electronic transmission of Classified Information may take place only by using cryptographic means in accordance with procedures to be agreed upon by the Competent Security Authorities.

4

Classified Information marked as CONFIDENTIEL LUX/Stg. CONFIDENTIEEL or above shall be registered.

1

Classified Information marked as TRES SECRET LUX/Stg. ZEER GEHEIM, both the original and the translation, shall not be reproduced or translated without the prior written consent of the Originating Party.

2

Reproductions and translations of Classified Information shall be marked with the original markings and protected in the same way as the original Classified Information.

3

Reproductions and translations shall be limited to the minimum amount required for use under this Agreement.

4

Translations shall contain a suitable annotation in the language of translation, indicating that they contain Classified Information received from the Originating Party.

1

Classified Information marked as TRES SECRET LUX/Stg. ZEER GEHEIM shall be destroyed only with the prior written consent of the Originating Party. By default, it shall be returned to the Originating Party after it is no longer considered necessary by the Receiving Entity.

2

Classified Information marked as SECRET LUX/Stg. GEHEIM or below, shall be destroyed after it is no longer considered necessary by the Receiving Entity, insofar as to prevent its reconstruction in whole or in part.

3

If a crisis situation makes it impossible for a Receiving Entity to protect Classified Information provided under this Agreement, the Classified Information shall be destroyed immediately. The Receiving Entity shall, via its Competent Security Authority, notify the Competent Security Authority of the Originating Party as soon as possible and in writing of the destruction of this Classified Information.

1

The Competent Security Authorities shall, on request, inform each other about changes in their national laws and regulations, policies and practices for the protection of Classified Information.

2

On request of the Competent Security Authority of one Party, the Competent Security Authority of the other Party shall issue a written confirmation that an individual has been issued a Personnel Security Clearance or a legal entity has been issued a Facility Security Clearance.

3

Within the scope of this Agreement, each Party shall recognize the Personnel Security Clearances and Facility Security Clearances issued by the other Party.

4

The Competent Security Authorities shall assist each other in carrying out Personnel Security Clearance and Facility Security Clearance investigations on request and in accordance with their national laws and regulations.

5

The Competent Security Authorities shall promptly notify each other in writing about changes in Personnel Security Clearances and Facility Security Clearances for which a confirmation has been provided.

6

Within the scope of this Agreement and notwithstanding Article 9, each Party shall recognise a formal act of approval issued by the other Party referring to equipment and mechanisms related to and including communication and information systems which are used to process the other Party’s Classified Information. When necessary, the updated list of approved equipment and mechanisms shall be exchanged between the Competent Security Authorities.

7

The cooperation under this Agreement is conducted in English.

1

In case a Security Incident of the Classified Information of the Originating Party is suspected or ascertained by the Receiving Entity, it shall inform its Competent Security Authority in writing as soon as possible. The notice must contain sufficient details for the Originating Party to assess the consequences and circumstances of the suspected or actual violation.

2

The Competent Security Authorities shall immediately inform each other in writing of any actual or potential Security Incident involving Classified Information.

3

The Receiving Entity shall immediately investigate any actual or potential Security Incident. The Competent Security Authority of the Originating Party shall, if required, cooperate in the investigation.

4

The Competent Security Authority of the Receiving Entity shall take appropriate measures in accordance with its national laws and regulations to limit the consequences and to prevent a recurrence of the Security Incident. The Competent Security Authority of the Originating Party shall be informed of the outcome of the investigation and, if any, of the measures taken.

1

This Agreement is concluded for an indefinite period of time.

2

Each Party shall notify the other Party through diplomatic channels once the national procedures necessary for the entry into force of this Agreement have been completed. This Agreement shall enter into force on the first day of the second month following the receipt of the latter notification.

3

With regard to the Kingdom of the Netherlands, this Agreement shall apply to the European part of the Netherlands and the Caribbean part of the Netherlands (the islands of Bonaire, Sint Eustatius and Saba).

4

This Agreement including its Annex may be amended with the mutual consent of the Parties. Either Party may propose amendments to this Agreement at any time through diplomatic channels. Such amendments shall enter into force under the conditions laid down in paragraph 2 of this article, with the exception of an amendment of the Competent Security Authorities listed in the Annex, which amendment shall enter into force on a date to be agreed upon by the Parties.

5

Either Party may terminate this Agreement in writing at any time through diplomatic channels. In this case, the Agreement shall expire six months after receipt of such notification.

6

In case of termination of this Agreement, all Classified Information exchanged, released or generated under this Agreement shall remain protected in accordance with the terms of this Agreement before it was terminated, for as long as the Classified Information remains classified.

1

Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen, tussen een partij en een opdrachtnemer onder de rechtsmacht van de andere partij, of tussen opdrachtnemers onder de rechtsmacht van de respectieve partijen, of die worden gegenereerd in het kader van dit Verdrag. In dit Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.

2

De partijen nemen alle passende maatregelen krachtens hun nationale wet- en regelgeving om de beveiliging van gerubriceerde gegevens in overeenstemming met dit Verdrag te waarborgen.

3

Dit Verdrag is van toepassing op alle activiteiten, contracten of overeenkomsten waarbij gerubriceerde gegevens betrokken zijn die na de inwerkingtreding van dit Verdrag tussen de partijen worden uitgevoerd of gesloten.

4

Dit Verdrag vormt geen basis om de partijen ertoe te verplichten gerubriceerde gegevens te verstrekken of uit te wisselen.

1

De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in de Bijlage bij dit Verdrag.

2

De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens en veranderingen daarvan.

1

De partijen verbinden zich ertoe de gerubriceerde gegevens die tussen hen worden uitgewisseld te beveiligen en komen overeen dat de volgende rubriceringsniveaus met elkaar overeenkomen. De niet-officiële vertaling in het Engels van de respectieve rubriceringsniveaus van de partijen, maakt geen deel uit van de nationale wet- en regelgeving van de partijen en dient niet gebruikt te worden om gerubriceerde gegevens aan te duiden.

1

In overeenstemming met hun nationale wet- en regelgeving waarborgen de partijen de implementatie van passende maatregelen om gerubriceerde gegevens die uit hoofde van dit Verdrag worden gegenereerd of uitgewisseld, te beveiligen. Elke partij kent aan deze gerubriceerde gegevens ten minste dezelfde beveiliging toe als aan haar eigen gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau zoals vervat in artikel 4 van dit Verdrag.

2

Wanneer dergelijke gerubriceerde gegevens worden verwerkt, opgeslagen of overgebracht door communicatie- en informatiesystemen, waarborgen deze maatregelen de vertrouwelijkheid, integriteit, beschikbaarheid, onweerlegbaarheid, authenticiteit en traceerbaarheid van de toegang tot gerubriceerde gegevens. De partijen waarborgen dat deze gerubriceerde gegevens worden opgeslagen en behandeld in overeenstemming met hun nationale wet- en regelgeving.

3

Alle gerubriceerde gegevens die uit hoofde van dit Verdrag worden vrijgegeven worden voorzien van het juiste rubriceringsniveau in overeenstemming met de nationale wet- en regelgeving van de partij van herkomst.

4

De ontvangende entiteit past zijn eigen rubriceringsniveau toe op alle gerubriceerde gegevens die uit hoofde van dit Verdrag van de verstrekkende entiteit zijn ontvangen, op het vergelijkbare rubriceringsniveau in overeenstemming met de tabel vervat in artikel 4, zodanig dat het altijd duidelijk is wie de partij van herkomst is.

5

Wanneer de vorm of de aard van de gerubriceerde gegevens het de ontvangende entiteit niet mogelijk maakt een dergelijke markering toe te passen op haar eigen overeenkomstige rubriceringsniveau, beslissen de bevoegde beveiligingsautoriteiten of de markering door de partij van oorsprong volstaat.

6

De ontvangende entiteit zal het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens niet veranderen of intrekken zonder de schriftelijke goedkeuring van de partij van herkomst.

7

De partij van herkomst waarborgt dat de ontvangende entiteit op de hoogte wordt gebracht van elke verandering van het rubriceringsniveau van de verstrekte gerubriceerde gegevens, teneinde de relevante beveiligingsmaatregelen toe te passen.

8

De partij van herkomst kan de gerubriceerde gegevens tevens, in het Engels, voorzien van vereisten voor de omgang ermee om eventuele beperkingen te stellen aan het gebruik, de bekendmaking, vrijgave en toegang door de ontvangende entiteit.

9

De partijen nemen alle passende maatregelen om te waarborgen dat de ontvangende entiteit:

• a.

  waarborgt dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;

• b.

  de gerubriceerde gegevens uitsluitend gebruikt voor het doel waarvoor zij zijn vrijgegeven en binnen de door de partij van herkomst gestelde beperkingen.

1

Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden voor de beveiliging van gerubriceerde gegevens en hun verantwoordelijkheden hebben bevestigd om gerubriceerde gegevens in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit te beveiligen.

2

In aanvulling op de vereisten van het eerste lid van dit artikel wordt toegang tot gerubriceerde gegevens op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL en hoger uitsluitend verleend aan de natuurlijke personen die een veiligheidsmachtiging personeel hebben op ten minste het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie in overeenstemming met de nationale wet- en regelgeving van de ontvangende entiteit.

1

Op verzoek van de partij van herkomst deelt de bevoegde beveiligingsautoriteit van de ontvangende entiteit aan de bevoegde beveiligingsautoriteit van de partij van herkomst mee of een opdrachtnemer die onder haar rechtsmacht valt en deelneemt aan een gerubriceerd contract of precontractuele onderhandelingen inzake een gerubriceerd contract en waarvoor toegang tot gerubriceerde gegevens vereist is, een veiligheidsmachtiging bedrijfslocatie heeft gekregen op het vereiste rubriceringsniveau. Indien de opdrachtnemer niet, op dat moment, over een veiligheidsmachtiging bedrijfslocatie beschikt, of de veiligheidsmachtiging bedrijfslocatie van een lager niveau is dan vereist, wordt de verzoekende bevoegde beveiligingsautoriteit daarvan op de hoogte gesteld.

2

Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract waarvoor toegang tot gerubriceerde gegevens vereist is op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL of hoger te gunnen aan een opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de bevoegde beveiligingsautoriteit van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie is toegekend met het vereiste rubriceringsniveau. Voor gerubriceerde contracten met het rubriceringsniveau dat overeenkomt met RESTREINT LUX/ DEPARTEMENTAAL VERTROUWELIJK kan een veiligheidsmachtiging bedrijfslocatie vereist zijn indien dit verplicht wordt gesteld in de nationale wet- en regelgeving van de partij onder wier rechtsmacht de opdrachtnemer zijn activiteiten uitvoert.

3

De bevoegde beveiligingsautoriteit van de partij onder wier rechtsmacht de opdrachtnemer valt, waarborgt dat de opdrachtnemer:

• a.

  waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met hun nationale wet- en regelgeving en met dit Verdrag;

• b.

  de beveiligingsuitvoering op zijn locaties in het oog houdt;

• c.

  zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elk beveiligingsincident dat betrekking heeft op het gerubriceerd contract.

4

In aanvulling op de vereisten van het derde lid van dit artikel, met betrekking tot gerubriceerde contracten waarbij toegang vereist is tot gerubriceerde gegevens op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL of hoger, waarborgt de bevoegde beveiligingsautoriteit dat de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie bezit met het vergelijkbaar rubriceringsniveau teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel met het vergelijkbaar rubriceringsniveau hebben.

5

Elk gerubriceerd contract dient beveiligingsvereisten te bevatten waarin de volgende aspecten vermeld staan:

• a.

  een rubriceringsgids;

• b.

  een procedure voor het melden van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 5, zevende lid, van dit Verdrag;

• c.

  de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van gerubriceerde gegevens;

• d.

  instructies voor de omgang met, opslag, vernietiging en retourneren van gerubriceerde gegevens;

• e.

  contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;

• f.

  de verplichting om de bevoegde beveiligingsautoriteit van de opdrachtnemer in kennis te stellen van elk beveiligingsincident en de verplichting voor opdrachtnemers om alle redelijke stappen te nemen om de gevolgen van een dergelijke beveiligingsinbreuk te beperken in samenspraak met de bevoegde beveiligingsautoriteit;

• g.

  wanneer een gerubriceerd contract geheel of gedeeltelijk wordt onderuitbesteed, de verplichting om alle bepalingen betreffende opdrachtnemers in dit Verdrag op te leggen aan de onderaannemer;

• h.

  een verwijzing naar dit Verdrag;

• i.

  een verklaring dat gerubriceerde gegevens die in het kader van het gerubriceerde contract worden uitgewisseld of gegenereerd, door de opdrachtnemer worden beschermd in overeenstemming met de van toepassing zijnde nationale wet- en regelgeving en dit Verdrag.

6

Indien een gerubriceerd contract wordt toegekend, zal de partij of een opdrachtnemer onder haar rechtsmacht, via haar bevoegde beveiligingsautoriteit een kopie sturen van de beveiligingsvereisten zoals bedoeld in het vijfde lid van dit artikel, naar de bevoegde beveiligingsautoriteit van de ontvangende entiteit, om het beveiligingstoezicht op het gerubriceerde contract te vergemakkelijken.

7

De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 8 van dit Verdrag te zijn.

1

Bezoeken waarbij toegang tot gerubriceerde gegevens op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL of hoger vereist is, dienen vooraf schriftelijk te worden goedgekeurd door de bevoegde beveiligingsautoriteit van de als gastheer optredende partij, tenzij anderszins overeengekomen door de bevoegde beveiligingsautoriteiten. Dergelijke goedkeuring wordt uitsluitend gegeven aan natuurlijke personen zoals bedoeld in artikel 6 van dit Verdrag. Met betrekking tot bezoeken die toegang vereisen tot gerubriceerde gegevens op het niveau RESTREINT LUX/DEPARTEMENTAAL VERTROUWELIJK, kan de voorafgaande schriftelijke toestemming van de bevoegde beveiligingsautoriteit van de ontvangende partij vereist zijn, in overeenstemming met de nationale wet- en regelgeving van de partij onder wier rechtsmacht het bezoek plaatsvindt.

2

De bezoeker dient de aanvraag voor het bezoek ten minste tien dagen vóór de beoogde datum van het bezoek in bij zijn bevoegde beveiligingsautoriteit, die de aanvraag doorstuurt naar de bevoegde beveiligingsautoriteit van de andere partij. In dringende gevallen kunnen de bevoegde beveiligingsautoriteiten een kortere termijn overeenkomen.

3

De bezoekaanvraag dient de volgende gegevens te bevatten:

• a.

  volledige naam van de bezoeker, geboortedatum en -plaats, nationaliteit en nummer paspoort/identiteitskaart;

• b.

  officiële functiebenaming en huidige functie van de bezoeker en de naam van de organisatie die de bezoeker vertegenwoordigt of waartoe de bezoeker behoort;

• c.

  bevestiging van de veiligheidsmachtiging personeel van de bezoeker en het niveau en de geldigheid ervan;

• d.

  datum en duur van het bezoek. In het geval van herhalingsbezoeken dient de volledige periode waarin de bezoeken plaatsvinden te worden vermeld;

• e.

  doel van het bezoek en het verwachte hoogste rubriceringsniveau van de gerubriceerde gegevens die besproken worden of waartoe toegang wordt verkregen;

• f.

  naam, adres, telefoonnummer, e-mailadres van het contactpunt van de te bezoeken locatie;

• g.

  van een datum en stempel voorziene handtekening van een vertegenwoordiger van de bevoegde beveiligingsautoriteit van de bezoeker.

4

De bevoegde beveiligingsautoriteiten kunnen een lijst overeenkomen van bezoekers die herhalingsbezoeken mogen afleggen gedurende een periode van niet langer dan twaalf maanden. De bevoegde beveiligingsautoriteiten komen nadere details van de herhalingsbezoeken overeen.

5

De bevoegde beveiligingsautoriteit van de partij die als gastheer optreedt stelt de beveiligingsbeambten van de te bezoeken bedrijfslocatie in kennis van de gegevens van de natuurlijke personen van wie het bezoek is goedgekeurd. Wanneer de goedkeuring eenmaal is verleend, kunnen de praktische aspecten van het bezoek van natuurlijke personen die herhalingsbezoeken mogen afleggen rechtstreeks geregeld worden met de betrokken bedrijfslocatie.

6

Gerubriceerde gegevens die aan een bezoeker worden verstrekt of door deze worden verkregen, worden behandeld in overeenstemming met de bepalingen van dit Verdrag.

1

Gerubriceerde gegevens op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL of hoger worden overgebracht door middel van diplomatieke, regerings- of militaire koeriers, of op enige andere wijze die vooraf door de bevoegde beveiligingsautoriteiten is overeengekomen, in overeenstemming met hun nationale wet- en regelgeving.

2

Gerubriceerde gegevens op het niveau RESTREINT LUX/DEPARTEMENTAAL VERTROUWELIJK kunnen worden overgedragen door postdiensten in overeenstemming met de nationale wet- en regelgeving.

3

De elektronische overbrenging van gerubriceerde gegevens mag alleen geschieden met gebruikmaking van cryptografische middelen in overeenstemming met procedures die door de bevoegde beveiligingsautoriteiten dienen te worden overeengekomen.

4

Gerubriceerde gegevens op het niveau CONFIDENTIEL LUX/Stg. CONFIDENTIEEL of hoger worden geregistreerd.

1

Gerubriceerde gegevens op het niveau TRES SECRET LUX/Stg. ZEER GEHEIM, zowel het origineel als de vertaling, worden niet gereproduceerd of vertaald zonder de voorafgaande schriftelijke toestemming van de partij van herkomst.

2

Reproducties en vertalingen van gerubriceerde gegevens worden voorzien van de oorspronkelijke rubriceringsmarkeringen en krijgen dezelfde beveiliging als de oorspronkelijke gerubriceerde gegevens.

3

Reproducties en vertalingen worden beperkt tot het minimumaantal dat nodig is voor gebruik uit hoofde van dit Verdrag.

4

Vertalingen dienen te worden voorzien van een passende annotatie in de taal waarin zij zijn gesteld met de aanduiding dat zij gerubriceerde gegevens bevatten ontvangen van de partij van herkomst.

1

Gerubriceerde gegevens op het niveau TRES SECRET LUX/Stg. ZEER GEHEIM worden alleen vernietigd met voorafgaande schriftelijke toestemming van de partij van herkomst. Zij worden standaard geretourneerd aan de partij van herkomst nadat de ontvangende entiteit ze niet meer nodig acht.

2

Gerubriceerde gegevens op het niveau SECRET LUX/Stg. GEHEIM of lager worden vernietigd nadat zij door de ontvangende partij als niet langer nodig worden geacht zodat zij niet geheel of gedeeltelijk kunnen worden gereconstrueerd.

3

Indien een crisissituatie het een ontvangende entiteit onmogelijk maakt de uit hoofde van dit Verdrag verstrekte gerubriceerde gegevens te beveiligen, dienen de gerubriceerde gegevens onmiddellijk vernietigd te worden. De ontvangende partij stelt, via haar bevoegde beveiligingsautoriteit, de bevoegde beveiligingsautoriteit van de verstrekkende partij zo spoedig mogelijk schriftelijk in kennis van de vernietiging van deze gerubriceerde gegevens.

1

De bevoegde beveiligingsautoriteiten stellen elkaar, op verzoek, in kennis van veranderingen in hun nationale wet- en regelgeving, beleid en praktijken met betrekking tot de beveiliging van gerubriceerde gegevens.

2

Op verzoek van de bevoegde beveiligingsautoriteit van de ene partij bevestigt de bevoegde beveiligingsautoriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel is afgegeven aan een natuurlijke persoon of een veiligheidsmachtiging bedrijfslocatie is afgegeven aan een rechtspersoon.

3

Binnen de reikwijdte van dit Verdrag erkent elke partij de veiligheidsmachtigingen personeel en veiligheidsmachtigingen bedrijfslocatie die door de andere partij zijn afgegeven.

4

De bevoegde beveiligingsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met hun nationale wet- en regelgeving, bijstand bij het uitvoeren van onderzoeken in verband met de afgifte van een veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie.

5

De bevoegde beveiligingsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen personeel of veiligheidsmachtigingen bedrijfslocatie waarvoor een bevestiging is verstrekt.

6

Binnen de reikwijdte van dit Verdrag en niettegenstaande artikel 9, erkent elke partij een door de andere partij afgegeven formele goedkeuringshandeling die betrekking heeft op apparatuur en mechanismen in verband met en met inbegrip van communicatie- en informatiesystemen die worden gebruikt om de gerubriceerde gegevens van de andere partij te verwerken. Indien nodig wordt de bijgewerkte lijst van goedgekeurde apparatuur en mechanismen uitgewisseld tussen de bevoegde beveiligingsautoriteiten.

7

Bij de samenwerking uit hoofde van dit Verdrag wordt gebruikgemaakt van de Engelse taal.

1

Indien een beveiligingsincident met betrekking tot de gerubriceerde gegevens van de partij van herkomst wordt vermoed of vastgesteld door de ontvangende entiteit, stelt zij haar bevoegde beveiligingsautoriteit daarvan zo spoedig mogelijk schriftelijk in kennis. De kennisgeving dient voldoende gedetailleerde informatie te bevatten om de partij van herkomst in staat te stellen de consequenties en omstandigheden van de vermoede of vastgestelde inbreuk te beoordelen.

2

De bevoegde beveiligingsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van een feitelijk of potentieel beveiligingsincident waarbij gerubriceerde gegevens betrokken zijn.

3

De ontvangende entiteit onderzoekt feitelijke of vermoedelijke beveiligingsincidenten onmiddellijk. De bevoegde beveiligingsautoriteit van de partij van herkomst verleent, indien nodig, medewerking aan het onderzoek.

4

De bevoegde beveiligingsautoriteit van de ontvangende entiteit neemt passende maatregelen in overeenstemming met haar nationale wet- en regelgeving om de gevolgen van het beveiligingsincident te beperken en om herhaling ervan te voorkomen. De bevoegde beveiligingsautoriteit van de partij van herkomst wordt in kennis gesteld van de uitkomsten van het onderzoek en de eventuele getroffen maatregelen.

1

Dit Verdrag wordt gesloten voor onbepaalde tijd.

2

Elke partij stelt de andere partij langs diplomatieke weg in kennis van de voltooiing van de nationale procedures die nodig zijn voor de inwerkingtreding van dit Verdrag. Dit Verdrag treedt in werking op de eerste dag van de tweede maand die volgt op de ontvangst van de laatste kennisgeving.

3

Ten aanzien van het Koninkrijk der Nederlanden is dit Verdrag van toepassing op het Europese deel van Nederland en op het Caribische deel van Nederland (de eilanden Bonaire, Sint Eustatius en Saba).

4

Dit Verdrag, met inbegrip van de Bijlage daarbij, kan met wederzijdse instemming van de partijen worden gewijzigd. Elke partij kan op elk moment langs diplomatieke weg wijzigingen van dit Verdrag voorstellen. Dergelijke wijzigingen treden in werking onder de voorwaarden vervat in het tweede lid van dit artikel, met uitzondering van een wijziging van de bevoegde beveiligingsautoriteiten die staan vermeld in de Bijlage, welke wijziging in werking treedt op een door de partijen overeen te komen datum.

5

Elke partij kan dit Verdrag te allen tijde schriftelijk langs diplomatieke weg beëindigen. In dat geval eindigt het Verdrag zes maanden na ontvangst van deze kennisgeving.

6

In geval van beëindiging van dit Verdrag blijven alle uit hoofde van dit Verdrag uitgewisselde, vrijgegeven of gegenereerde gerubriceerde gegevens beveiligd in overeenstemming met de bepalingen van dit Verdrag voor de beëindiging ervan, zolang deze gerubriceerde gegevens gerubriceerd blijven.