Brief regering : Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; ’s-Gravenhage, 22 februari 2022 (herdruk)

A/ Nr. 1 Herdruk1

BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Ter griffie van de Eerste en van de Tweede Kamer der Staten-Generaal ontvangen op
15 juni 2022.

De wens dat het verdrag aan de uitdrukkelijke goedkeuring van de Staten-Generaal wordt
onderworpen kan door of namens één van de Kamers of door ten minste vijftien leden
van de Eerste Kamer dan wel dertig leden van de Tweede Kamer te kennen worden gegeven
uiterlijk op 15 juli 2022.

Aan de Voorzitters van de Eerste en van de Tweede Kamer der Staten-Generaal

Den Haag, 13 juni 2022

Overeenkomstig het bepaalde in artikel 2, eerste lid, en artikel 5, eerste lid, van
de Rijkswet goedkeuring en bekendmaking verdragen, de Raad van State gehoord, heb
ik de eer u hierbij ter stilzwijgende goedkeuring over te leggen het op 22 februari
2022 te ’s-Gravenhage tot stand gekomen verdrag tussen het Koninkrijk der Nederlanden
en de Republiek Finland inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde
gegevens (Trb. 2022, nr. 20).

Een toelichtende nota bij dit verdrag treft u eveneens hierbij aan.

De goedkeuring wordt voor het Europese deel en het Caribische deel van Nederland gevraagd.

De Minister van Buitenlandse Zaken,
W.B. Hoekstra

TOELICHTENDE NOTA

Algemeen

Door middel van dit Verdrag verzekeren Nederland en Finland zich ervan dat nationale
gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar
niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van nationale
gerubriceerde gegevens valt daaronder tevens de strafbaarstelling in het geval van
compromittering van nationale gerubriceerde gegevens.

Het Verdrag maakt de uitwisseling van nationale gerubriceerde gegevens mogelijk, maar
verplicht beide landen daar niet toe. Het is telkens de eigenstandige afweging van
de respectieve overheden om nationale gerubriceerde gegevens al dan niet uit te wisselen.
Deze uitwisseling kan plaatsvinden tussen overheden onderling, of tussen overheid
en bedrijfsleven, wanneer de overheid een gerubriceerde opdracht verleent aan een
bedrijf in het andere land. Dit Verdrag biedt Nederlandse bedrijven daarmee de mogelijkheid
om opdrachten voor Finland uit te voeren waarvoor toegang tot Finse gerubriceerde
gegevens nodig is en vice versa.

Vanwege de nauwe banden tussen Nederland en Finland biedt dit Verdrag waarborgen voor
samenwerking in het geval dat nationale gerubriceerde gegevens moeten worden uitgewisseld.
Dit is onder andere aan de orde op militair gebied en in de vitale sectoren.

Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen
schriftelijk en in een gezamenlijke sessie informatie uitgewisseld over de respectieve
nationale wet- en regelgeving voor de bescherming van nationale gerubriceerde gegevens
en de implementatie daarvan. Vervolgens is op basis daarvan de tekst van het Verdrag
afgerond, die aansluit bij de wet- en regelgeving en de uitvoeringspraktijk in de
beide landen.

Artikelsgewijze toelichting

Artikel 1

Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden
uitgewisseld tussen Nederland en Finland te waarborgen. Het Verdrag regelt dat de
informatie die onderling onder het Verdrag wordt uitgewisseld in beide landen een
vergelijkbaar en passend niveau van beveiliging krijgt. In het Verdrag zijn de veiligheidsprocedures
en regelingen voor de beveiliging vastgelegd.

Artikel 2

Artikel 2 bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen
overigens gebruikelijke, begrippen.

Artikel 3

De verantwoordelijke autoriteit voor de implementatie en uitvoering van het Verdrag
is in beide landen de National Security Authority (NSA), in Nederland ondergebracht
bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD).

De NSA is het eerste aanspreekpunt voor bedrijven en overheden uit beide landen over
de uitvoering van het Verdrag, de NSA ziet toe op de naleving van het Verdrag bij
de eigen overheid en de bedrijven die onder haar jurisdictie vallen en de NSA draagt
zorg voor de uitvoering van onderzoek ten behoeve van veiligheidsmachtigingen voor
personen en/of bedrijfslocaties.

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD)/Bureau Industrieveiligheid
(BIV) is de zogenoemde Designated Security Authority (DSA). De DSA voert een aantal
specifieke taken uit namens de verantwoordelijke autoriteit. De MIVD/BIV vervult deze
rol in de richting van betrokken bedrijven teneinde uitvoering te geven aan bepaalde
verplichtingen, zoals het afgeven van veiligheidsmachtigingen in het militaire domein.

Artikel 4

In het eerste lid van dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus
van de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus
die Nederland en Finland volgens hun wet- en regelgeving hanteren. Gerubriceerde informatie
die Nederland ontvangt van Finland zal worden beveiligd volgens de maatregelen zoals
die in Nederland gelden voor het equivalente nationale rubriceringsniveau. Vice versa
geldt hetzelfde.

Door gerubriceerde informatie afkomstig van de andere partij ook te voorzien van de
equivalente nationale rubricering (door de zgn. dubbele markering), wordt de herkenbaarheid
vergroot en de naleving van de vereiste beveiligingsmaatregelen bevorderd. Deze waarborg
is vastgelegd in het tweede lid.

Artikel 5

Dit artikel beschrijft maatregelen die partijen nemen ter beveiliging van gerubriceerde
gegevens. Zo geeft het eerste lid aan, dat partijen gerubriceerde informatie van de
andere partij minstens op dezelfde manier beveiligen als hun eigen gerubriceerde gegevens.
Nederlandse wet- en regelgeving vereist echter, in tegenstelling tot Finse wet- en
regelgeving, geen maatregelen (zoals het gebruik van cryptografische middelen) wanneer
gerubriceerde gegevens op DEPARTEMENTAAL VERTROUWELIJK niveau digitaal worden verzonden.2 Hoewel in de Nederlands nationale praktijk doorgaans wel gebruik wordt gemaakt van
cryptografische middelen in een zodanig geval, hechtten partijen eraan dit als wederkerige
verplichting op te nemen in het Verdrag.

Het tweede lid waarborgt dat gerubriceerde gegevens niet zomaar bij een derde partij
terecht kunnen komen.

Het derde lid gaat in op de vereisten voor toegang tot gerubriceerde gegevens. Zo
dient de persoon die zich toegang wenst te verschaffen daarvoor eerst geïnformeerd
te zijn over zijn/haar verantwoordelijkheden ten aanzien van die toegang. Daarnaast
dient deze persoon gebonden te zijn aan geheimhouding, bijvoorbeeld door het ondertekenen
van een geheimhoudingsverklaring. Anders dan bij DEPARTEMENTAAL VERTROUWELIJK gerubriceerde
gegevens (zie het vierde lid van dit artikel) is daarnaast voor toegang tot staatsgeheime
gegevens (dat wil zeggen: gegevens met een rubricering van Stg CONFIDENTIEEL en hoger)
een persoonlijke veiligheidsmachtiging vereist. Deze screening vindt in Nederland
plaats op basis van de Wet veiligheidsonderzoeken (Wvo)3. De enige uitzondering op het vereiste van de veiligheidsmachtiging, is de uitzondering
als genoemd in artikel 11 van de Wvo. Hierin wordt een aantal functies genoemd waarop
de Wvo niet van toepassing is. Ergo, de personen met een zodanige functie kunnen toegang
krijgen tot staatsgeheime gegevens zonder dat daarvoor eerst een veiligheidsmachtiging
is vereist (bijvoorbeeld leden van de rechterlijke macht met rechtspraak belast).

Aangezien volgens de toepasselijke nationale wet- en regelgeving een veiligheidsmachtiging
niet nodig is, alvorens toegang kan worden verkregen tot DEPARTEMENTAAL VERTROUWELIJK
gerubriceerde gegevens4, is in het vierde lid opgenomen dat voor die toegang enkel de overige vereisten als
genoemd in het derde lid gelden.

De laatste waarborg van dit artikel, namelijk in het vijfde lid, is dat partijen doelbinding
zijn overeengekomen.

Artikel 6

Tijdens de onderhandelingen die hebben geleid tot het Verdrag hebben beide partijen
elkaar geïnformeerd over de wederzijdse wet- en regelgeving en bijbehorende uitvoeringspraktijk.
Het eerste lid van dit artikel voorziet in een blijvende informatie-uitwisseling tussen
partijen daaromtrent.

Het tweede lid bepaalt dat partijen elkaar onderling kunnen bevragen over de geldigheid
van afgegeven veiligheidsmachtigingen voor personen of bedrijfslocaties. In aanvulling
hierop, is in het vierde lid van dit artikel bepaald dat partijen elkaar informeren
over wijzigingen in afgegeven veiligheidsmachtigingen voor personen of bedrijfslocaties.

Ook zullen de partijen elkaar – in overeenstemming met de nationale wet- en regelgeving
– ondersteunen bij de uitvoering van onderzoeken ten behoeve van de afgifte van voornoemde
veiligheidsmachtigingen, door informatie te verstrekken over personen indien deze
personen gedurende een deel van de onderzoeksperiode in hun land verblijf hebben gehad,
aldus het derde lid.

Samenwerking onder het Verdrag, waaronder de samenwerking als genoemd in dit artikel,
vindt plaats in de Engelse taal. Dit is opgenomen in het vijfde lid van artikel 6.

Artikel 7

Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door
de overheid van de ene partij aan bedrijven die vallen onder de jurisdictie van de
andere partij. Voor Nederlandse bedrijven die mee willen dingen naar een gerubriceerde
opdracht van de Finse overheid zal door de Nederlandse overheid onderzoek worden uitgevoerd
ten behoeve van veiligheidsmachtigingen voor personeel en bedrijfslocaties en zal
tijdens de uitoefening van de gerubriceerde opdracht bovendien periodiek toezicht
worden gehouden bij deze bedrijven. Deze procedure komt op hoofdlijnen overeen met
de gehanteerde procedures voor gerubriceerde opdrachten van internationale organisaties,
namelijk de EU, NAVO en ESA.

Indien sprake is van een zogenoemde precontractuele fase, waarin onderhandelingen
tussen de overheid en een bedrijf kunnen plaatsvinden, bepaalt het eerste lid dat
de verantwoordelijke autoriteiten van partijen elkaar desgevraagd kunnen informeren
of het bedrijf in kwestie een veiligheidsmachtiging voor zijn bedrijfslocatie heeft.

Het tweede lid bepaalt dat wanneer een partij of een bedrijf onder diens jurisdictie,
een gerubriceerde opdracht (vanaf het niveau Stg CONFIDENTIEEL en diens Finse equivalent)
wil gunnen aan een bedrijf werkzaam onder de jurisdictie van de andere partij, eerst
een schriftelijke bevestiging dient te verkrijgen van de andere partij, dat het bedrijf
aan wie zij de opdracht wil gunnen over de benodigde veiligheidsmachtiging beschikt.
Als het bedrijf niet over deze veiligheidsmachtiging beschikt, moet hij deze aanvragen
bij de verantwoordelijke autoriteit. Het derde lid geeft aan dat wanneer sprake is
van een openbare aanbesteding, de verantwoordelijke autoriteiten van partijen elkaar
kunnen informeren of een bedrijf in het bezit is van een veiligheidsmachtiging voor
bedrijfslocaties. Hoewel een veiligheidsmachtiging voor bedrijfslocaties in dat stadium
nog geen vereiste is – gelet op de aanbestedende fase – is het voor de aanbestedende
partij wel van nut om te weten welke potentiele opdrachtnemers in het bezit zijn van
een veiligheidsmachtiging voor bedrijfslocaties.

Het vijfde lid bepaalt dat de verantwoordelijke autoriteiten van partijen elkaar kunnen
bezoeken teneinde de maatregelen die zijn genomen voor de bescherming van gerubriceerde
informatie te beoordelen. Indien nodig, kunnen ook de maatregelen die door bedrijven
zijn genomen, daarbij in aanmerking genomen worden. Een en ander zal in overleg tussen
de verantwoordelijke autoriteiten van partijen gebeuren. Het Ministerie van Defensie
heeft aangegeven dergelijke bezoeken vanuit Finland bij defensieonderdelen of bij
Defensie-orderbedrijven in beginsel niet toe te zullen staan, omdat het hecht aan
het wederzijdse vertrouwen tussen partijen ten aanzien van de beveiligingsmaatregelen,
zoals die bij het afsluiten van het Verdrag onderling zijn vastgesteld. Dit geldt
eveneens vice versa.

Het zesde lid stelt eisen aan het contract tussen overheid en bedrijf, teneinde te
bewerkstelligen dat beveiligingseisen in de praktijk ook voor bedrijven kenbaar zijn
en worden nageleefd.

Om te bewerkstelligen dat de verantwoordelijke autoriteiten van partijen in staat
zijn implementatie en uitvoering van het Verdrag goed plaats te laten vinden, is in
het zevende lid opgenomen dat zij op de hoogte worden gesteld van de eisen als bedoeld
in het zesde lid.

Het kan in de praktijk voor komen dat bedrijven een (deel van een) gerubriceerde opdracht
uitbesteden aan een onderaannemer. Partijen hebben er belang aan gehecht om in het
negende lid op te nemen dat de onderaannemer ook gehouden is aan de bepalingen als
genoemd in dit artikel.

Artikel 8

Het eerste lid van dit artikel bepaalt dat nationale gerubriceerde gegevens tussen
partijen mogen worden uitgewisseld op de manier zoals bepaald in nationale wet- en
regelgeving, of op een andere wijze die altijd tussen de verantwoordelijke autoriteiten
wordt afgestemd.

Voor zover het gaat om elektronische verzending van nationale gerubriceerde gegevens,
geldt het vereiste van cryptografische middelen. De exacte procedure hiervoor zal
tussen verantwoordelijke autoriteiten moeten worden afgestemd, aldus het tweede lid.

Artikel 9

Dit artikel bevat een aantal specifieke bepalingen omtrent de reproductie, vertaling
en vernietiging van gerubriceerde informatie, met specifieke aandacht voor de hoogste
rubricering en voor noodsituaties. Deze bepalingen zijn erop gericht te waarborgen
dat de partij van wie de betreffende gerubriceerde informatie afkomstig is, zoveel
als mogelijk controle houdt over de betreffende informatie.

Artikel 10

Dit artikel sluit aan op artikel 8 omdat het is bedoeld voor medewerkers van bedrijven.
Wanneer bijvoorbeeld een medewerker van een Nederlands bedrijf in de uitvoering van
een gerubriceerde opdracht de Finse overheid of een Fins bedrijf wil bezoeken waarbij
toegang tot Finse nationale gerubriceerde gegevens nodig is, wordt via de in dit artikel
beschreven procedure bij de Nederlandse verantwoordelijke autoriteit nagegaan of de
betrokkene op dat moment over een geldige veiligheidsmachtiging beschikt. Dit wordt
vervolgens gemeld aan de Finse verantwoordelijke autoriteit voorafgaand aan het bezoek
en geldt als voorwaarde voor toegang tot de nationale Finse gerubriceerde gegevens.
Deze procedure geldt dus tevens vice versa.

Artikel 11

Dit artikel beschrijft de te doorlopen procedure in het geval van (vermoedelijke)
beveiligingsincidenten. Ook hier is een rol weggelegd voor de verantwoordelijke autoriteit
van het land waar het beveiligingsincident (mogelijk) heeft plaatsgevonden. Deze verantwoordelijke
autoriteit doet immers onderzoek naar dat beveiligingsincident. Waar nodig, werkt
de verantwoordelijke autoriteit samen met de verantwoordelijke autoriteit van het
andere land.

Artikel 14

In dit artikel is bepaald dat internationale bindende afspraken die specifieke handelingen
regelen prevaleren. Te denken valt aan specifieke defensieverdragen of verdragen met
betrekking tot internationale organisaties, zoals de EU5 en de NAVO6, voor de onderlinge uitwisseling van nationale gerubriceerde gegevens. Dit Verdrag
heeft alleen betrekking op de uitwisseling van nationale gerubriceerde gegevens tussen
Nederland en Finland.

Artikel 15

Volgens dit artikel zijn de verantwoordelijke autoriteiten (oftewel NSA’s) bevoegd
om, indien daar aanleiding toe bestaat, verder afspraken te maken ter uitvoering van
het Verdrag. Vanwege het specifieke beleid dat het Ministerie van Defensie hanteert
ten aanzien van beveiliging van gerubriceerde gegevens in het militaire domein, is
het voor het Ministerie van Defensie noodzakelijk dat, indien er defensie of defensie-industrie
gerelateerde uitwisseling van gerubriceerde informatie voortvloeit uit dit Verdrag,
er nadere afspraken gemaakt worden. Hiervoor, alsmede voor de implementatie van die
afspraken, is het Ministerie van Defensie als eerste aanspreekpunt verantwoordelijk.

Artikel 16

Dit artikel bevat de gebruikelijke slotbepalingen.

In het vijfde lid is een bepaling opgenomen voor het geval het Verdrag beëindigd wordt.
De nationale gerubriceerde gegevens die op het moment van beëindiging onder de reikwijdte
van het Verdrag vallen, zullen de bescherming van het Verdrag behouden zolang ze een
onder het Verdrag verkregen nationale rubricering behouden.

Bijlage I

In Bijlage I staan de verantwoordelijke autoriteiten voor Nederland en Finland opgenomen.
De verantwoordelijke autoriteit voor de uitvoering van het Verdrag is in beide landen
de daartoe aangewezen NSA.

De Bijlage vormt een geïntegreerd onderdeel van het Verdrag en is aan te merken als
zijnde van uitvoerende aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge
artikel 7, onderdeel f van de Rijkswet goedkeuring en bekendmaking verdragen, geen
parlementaire goedkeuring, tenzij de Staten-Generaal zich thans het recht tot goedkeuring
terzake voorbehouden.

Een ieder verbindende bepalingen

Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen
in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten
toekennen of plichten opleggen. Het gaat hierbij om artikel 7, tweede en negende lid
en artikel 10, in verband met de positie van bedrijven aan of door wie die gerubriceerde
opdrachten zijn verleend of waaraan men opdrachten wil gunnen.

Koninkrijkspositie

Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese
en het Caribische deel van Nederland gelden. Dit is in lijn met de andere bilaterale
beveiligingsverdragen die Nederland heeft gesloten (laatstelijk met het Koninkrijk
Spanje, Trb. 2021, nr. 123). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde
opdrachten voor de Finse overheid uit te voeren en maakt het tevens mogelijk om informatie
die door de Finse overheid wordt gedeeld met overheidsinstanties in het Caribische
deel van Nederland te delen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
H.G.J. Bruins Slot

De Minister van Buitenlandse Zaken,
W.B. Hoekstra

De Minister van Defensie,
K.H. Ollongren