Brief regering : Verdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk België inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Brussel, 5 november 2019

A/ Nr. 1 HERDRUK1

BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Ter griffie van de Eerste en van de Tweede Kamer der Staten-Generaal ontvangen op
15 januari 2021.

De wens dat het verdrag aan de uitdrukkelijke goedkeuring van de Staten-Generaal wordt
onderworpen kan door of namens één van de Kamers of door ten minste vijftien leden
van de Eerste Kamer dan wel dertig leden van de Tweede Kamer te kennen worden gegeven
uiterlijk op 14 februari 2021.

Aan de Voorzitters van de Eerste en van de Tweede Kamer der Staten-Generaal

Den Haag, 14 januari 2021

Overeenkomstig het bepaalde in artikel 2, eerste lid, en artikel 5, eerste lid, van
de Rijkswet goedkeuring en bekendmaking verdragen, de Raad van State gehoord, heb
ik de eer u hierbij ter stilzwijgende goedkeuring over te leggen het op 5 november
2019 te Brussel tot stand gekomen verdrag tussen het Koninkrijk der Nederlanden en
het Koninkrijk België inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde
gegevens (Trb. 2019, nr. 169 en Trb. 2020, nr. 110).

Een toelichtende nota bij het verdrag treft u eveneens hierbij aan.

De goedkeuring wordt voor het Europese deel en het Caribische deel van Nederland gevraagd.

De Minister van Buitenlandse Zaken,
S.A. Blok

TOELICHTENDE NOTA

Algemeen

Door middel van dit Verdrag verzekeren Nederland en België zich ervan dat nationale
gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar
niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van gerubriceerde
gegevens valt daaronder tevens de strafbaarstelling in het geval van compromittering
van gerubriceerde gegevens.

Het Verdrag maakt de uitwisseling van gerubriceerde gegevens mogelijk, maar verplicht
beide landen daar niet toe. Het is telkens de eigenstandige afweging van de respectieve
overheden om gerubriceerde gegevens al dan niet uit te wisselen. Deze uitwisseling
kan plaatsvinden tussen overheden onderling, of tussen overheid en bedrijfsleven,
wanneer de overheid een gerubriceerde opdracht verleent aan een bedrijf in het andere
land. Dit Verdrag biedt Nederlandse bedrijven daarmee de mogelijkheid om opdrachten
voor België uit te voeren waarvoor toegang tot Belgische gerubriceerde gegevens nodig
is en vice versa.

Vanwege de nauwe banden tussen Nederland en België biedt dit Verdrag waarborgen voor
samenwerking in het geval dat gerubriceerde gegevens moeten worden uitgewisseld. Dit
is aan de orde op onder meer militair gebied en in de vitale sectoren, waaronder de
nucleaire sector en de burgerluchtvaart.

Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen
schriftelijk en in een gezamenlijke sessie informatie uitgewisseld over de respectieve
nationale wet- en regelgeving voor de bescherming van gerubriceerde gegevens en de
implementatie daarvan. Vervolgens is op basis daarvan de verdragstekst afgerond, die
aansluit bij de wet- en regelgeving en de uitvoeringspraktijk in de beide landen.

Artikelsgewijze toelichting

Artikel 1

Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden
uitgewisseld tussen Nederland en België te waarborgen. Het Verdrag regelt dat de informatie
die onderling wordt uitgewisseld in beide landen een vergelijkbaar niveau van beveiliging
krijgt. In het Verdrag zijn de veiligheidsprocedures en regelingen voor de beveiliging
vastgelegd.

Artikel 2

Artikel 2 bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen
gebruikelijke, begrippen. De definitie van het Koninkrijk der Nederlanden verduidelijkt
de gelding van het Verdrag voor het Europese en het Caribische deel van Nederland.

Artikel 3

De verantwoordelijke autoriteit voor de uitvoering van het Verdrag is in beide landen
de National Security Authority (NSA), in Nederland ondergebracht bij de AIVD. De NSA
is eerste aanspreekpunt voor bedrijven en overheden uit beide landen over de uitvoering
van het Verdrag, ziet toe op de naleving van het Verdrag bij de eigen overheid en
de bedrijven die onder haar jurisdictie vallen en draagt zorg voor de uitvoering van
onderzoek ten behoeve van veiligheidsmachtigingen voor personen en/of bedrijfslocaties.

Artikel 4

In dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus van
de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus
die Nederland en België hanteren. Gerubriceerde informatie die Nederland ontvangt
van België zal worden beveiligd volgens de maatregelen zoals die in Nederland gelden
voor het equivalente nationale rubriceringsniveau. Vice versa geldt hetzelfde.

In de Nederlandse rubriceringen is een onderscheid te maken tussen «staatsgeheimen»
(Stg. Confidentieel, Stg. Geheim en Stg. Zeer Geheim) en andere «bijzondere informatie»,
te weten Departementaal Vertrouwelijke gegevens. Deze rubriceringen worden geregeld
door het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie
2013 (VIRBI 2013). Staatsgeheime gegevens raken aan de vitale belangen van de Staat
of diens bondgenoten, Departementaal Vertrouwelijke gegevens aan de belangen van één
of meerdere ministeries. In Nederland vallen zowel «staatsgeheimen» als «bijzondere
informatie» onder het toepassingsbereik van het Wetboek van Strafrecht. In België
krijgen gegevens de rubricering BEPERKTE VERSPREIDING, wanneer men de verspreiding
wil beperken tot de personen die bevoegd zijn om er kennis van te nemen. Aan deze
beperking heeft België echter geen juridische gevolgen verbonden voorzien door de
wet. Deze gegevens krijgen wel een vergelijkbaar beschermingsniveau als gegevens van
het niveau DEPARTEMENTAAL VERTROUWELIJK in Nederland. Daarom is de gelijkstelling
van deze niveaus in een voetnoot opgenomen en niet in de equivalentietabel. Het gelijkstellen
van gerubriceerde gegevens van beide landen betekent dat Belgische gerubriceerde gegevens
onder de bescherming vallen die ook aan Nederlandse gerubriceerde gegevens wordt gegeven.
Onderdeel daarvan is de strafbaarstelling van het opzettelijk verstrekken of beschikbaar
stellen van gerubriceerde gegevens aan een ongeautoriseerde persoon of lichaam (opgenomen
in artikel 98 en artikel 272 van het Wetboek van Strafrecht).

Artikel 5

Het eerste lid gaat in op de vereisten voor toegang tot staatsgeheime gegevens. Anders
dan bij Departementaal Vertrouwelijke gegevens is voor toegang tot staatsgeheime gegevens
een persoonlijke veiligheidsmachtiging vereist. Deze screening vindt in Nederland
plaats op basis van de Wet Veiligheidsonderzoeken. Het tweede en derde lid gaat in
op de gevolgen voor toegang tot staatsgeheime gegevens verbonden aan het wel of niet
hebben van de Nederlandse en/of Belgische nationaliteit. Het vierde lid bepaalt dat
voor Departementaal Vertrouwelijke gegevens geen veiligheidsonderzoek nodig is, maar
wel need-to-know (noodzaak vanuit de functie om kennis te nemen van specifieke informatie)
en voorlichting over de in acht te nemen veiligheidsmaatregelen. Dit is in lijn met
het VIRBI 2013.

Artikel 6

In aansluiting op Artikel 4 wordt in dit artikel bepaald dat de gegevens door beide
partijen op de juiste wijze worden gerubriceerd en dat de partijen elkaar wederzijds
informeren dan wel consulteren als zij de rubricering willen wijzigen of gegevens
willen delen met een derde partij.

Artikel 7

Tijdens de onderhandelingen die hebben geleid tot het Verdrag hebben beide partijen
elkaar geïnformeerd over de wederzijdse wet- en regelgeving en uitvoeringspraktijk.
Dit artikel voorziet in een blijvende informatie-uitwisseling over voor de andere
partij relevante wijzigingen. Tevens wordt geregeld dat de partijen elkaar onderling
kunnen bevragen over de geldigheid van afgegeven clearances voor personen of bedrijfslocaties.
Ook zullen de partijen elkaar – in overeenstemming met de nationale wet- en regelgeving
– ondersteunen bij de uitvoering van onderzoeken ten behoeve van de afgifte van voornoemde
clearances, door informatie te verstrekken over personen als deze personen gedurende
een deel van de onderzoeksperiode in hun land verblijf hebben gehad.

Artikel 8

Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door
de overheid van de ene partij aan bedrijven die vallen onder de andere partij. Voor
Nederlandse bedrijven die mee willen dingen naar een gerubriceerde opdracht van de
Belgische overheid zal door de Nederlandse overheid onderzoek worden uitgevoerd ten
behoeve van veiligheidsmachtigingen voor personeel en bedrijfslocaties en zal tijdens
de uitoefening van de gerubriceerde opdracht periodiek toezicht worden gehouden bij
deze bedrijven. Deze procedure komt op hoofdlijnen overeen met de gehanteerde procedures
voor gerubriceerde opdrachten van internationale organisaties, namelijk de EU, NAVO
en ESA.

Het eerste lid van dit artikel bepaalt dat bedrijven die onder de jurisdictie vallen
van de ene partij en een gerubriceerde opdracht willen gunnen aan een bedrijf werkzaam
onder de jurisdictie van de andere partij, eerst een schriftelijke bevestiging dienen
te verkrijgen dat die andere partij over de benodigde veiligheidsmachtiging beschikt.
Als het bedrijf niet over deze veiligheidsmachtiging beschikt, moet hij deze aanvragen
bij de verantwoordelijke autoriteit.

Artikel 9

Dit artikel bepaalt dat gerubriceerde gegevens mogen worden uitgewisseld zoals bepaald
in nationale wet- en regelgeving. Voor zover het gaat om gerubriceerde gegevens die
met encryptie beveiligd zijn is vooraf wederzijds akkoord nodig van de beide NSA’s
over de toe te passen procedure. Ter bescherming van de nationaal gehanteerde cryptografische
middelen voor de beveiliging van gerubriceerde gegevens zullen specifieke cryptografische
middelen gebruikt worden voor de onderlinge uitwisseling tussen beide landen. Hierover
zullen, indien opportuun, specifieke afspraken worden gemaakt.

Artikel 11

Dit artikel sluit aan op artikel 8 omdat het is bedoeld voor medewerkers van bedrijven.
Wanneer een medewerker van een Nederlands bedrijf in de uitvoering van een gerubriceerde
opdracht de Belgische overheid of een Belgisch bedrijf wil bezoeken waarbij toegang
tot gerubriceerde gegevens nodig is, wordt via de in dit artikel beschreven procedure
bij de Nederlandse NSA nagegaan of de betrokkene op dat moment over een geldige veiligheidsmachtiging
beschikt. Dit wordt gemeld aan de Belgische NSA voorafgaand aan het bezoek en geldt
als voorwaarde voor toegang tot de gerubriceerde gegevens. Deze procedure geldt tevens
vice versa.

Artikel 15

In dit artikel is bepaald dat internationale afspraken die specifieke handelingen
regelen prevaleren. Te denken valt aan specifieke verdragen met betrekking tot internationale
organisaties, zoals de EU2 en de NAVO3, voor de onderlinge uitwisseling van gerubriceerde gegevens. Dit Verdrag heeft alleen
betrekking op de uitwisseling van nationale gerubriceerde gegevens tussen Nederland
en België.

Artikel 16

Volgens dit artikel zijn de beveiligingsautoriteiten bevoegd om, indien daar aanleiding
toe bestaat, verdere afspraken te maken ter uitvoering van het Verdrag. Een voorbeeld
is het gebruik van cryptografische middelen voor de digitale uitwisseling van gerubriceerde
gegevens, zoals bedoeld in artikel 9.

Artikel 17

Dit artikel bevat de gebruikelijke slotbepalingen. Daarnaast is in lid 4 een overgangsregeling
opgenomen voor het geval het Verdrag beëindigd wordt. De gerubriceerde gegevens die
op het moment van beëindiging onder de reikwijdte van het Verdrag vallen, zullen de
bescherming van het Verdrag behouden zolang ze de onder het Verdrag verkregen classificatie
behouden.

Bijlage I

In Bijlage I staan de bevoegde veiligheidsautoriteiten voor Nederland en België opgenomen.
De bevoegde veiligheidsautoriteit voor de uitvoering van het Verdrag is in beide landen
de daartoe aangewezen NSA.

De Bijlage vormt een geïntegreerd onderdeel van het verdrag en is aan te merken als
zijnde van uitvoerende aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge
artikel 7, onderdeel f van de Rijkswet goedkeuring en bekendmaking verdragen, geen
parlementaire goedkeuring, tenzij de Staten-Generaal zich thans het recht tot goedkeuring
terzake voorbehouden.

Een ieder verbindende bepalingen

Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen
in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten
toekennen of plichten opleggen. Het gaat hierbij om artikel 8, eerste lid, en artikel
11, in verband met de positie van bedrijven aan of door wie die gerubriceerde opdrachten
zijn verleend of waaraan men opdrachten wil gunnen.

Koninkrijkspositie

Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese
en het Caribische deel van Nederland gelden. Dit is in lijn met de andere bilaterale
beveiligingsverdragen die Nederland heeft gesloten (laatstelijk met Duitsland, Trb. 2001, nr. 100). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde
opdrachten voor de Belgische overheid uit te voeren en maakt het tevens mogelijk om
informatie die door de Belgische overheid wordt gedeeld met overheidsinstanties in
het Caribische deel van Nederland te delen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
K.H. Ollongren

De Minister van Defensie,
A.Th.B. Bijleveld-Schouten

De Minister van Buitenlandse Zaken,
S.A. Blok