Brief regering : Verdrag tussen het Koninkrijk der Nederlanden en de Republiek Polen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Warschau, 10 februari 2023

A/ Nr. 1
BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Ter griffie van de Eerste en van de Tweede Kamer der Staten-Generaal ontvangen op
15 mei 2023.

De wens dat het verdrag aan de uitdrukkelijke goedkeuring van de Staten-Generaal wordt
onderworpen kan door of namens één van de Kamers of door ten minste vijftien leden
van de Eerste Kamer dan wel dertig leden van de Tweede Kamer te kennen worden gegeven
uiterlijk op 14 juni 2023.

Aan de Voorzitters van de Eerste en van Tweede Kamer der Staten-Generaal

Den Haag, 11 mei 2023

Overeenkomstig het bepaalde in artikel 2, eerste lid, en artikel 5, eerste lid, van
de Rijkswet goedkeuring en bekendmaking verdragen, de Raad van State gehoord, heb
ik de eer u hierbij ter stilzwijgende goedkeuring over te leggen het op 10 februari
2023 te Warschau tot stand gekomen Verdrag tussen het Koninkrijk der Nederlanden en
de Republiek Polen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde
gegevens (Trb. 2023, nr. 18).

Een toelichtende nota bij dit verdrag treft u eveneens hierbij aan.

De goedkeuring wordt voor het Europese deel en het Caribische deel van Nederland gevraagd.

De Minister van Buitenlandse Zaken,
W.B. Hoekstra

TOELICHTENDE NOTA

Algemeen

Door middel van dit Verdrag verzekeren Nederland en Polen zich ervan dat nationale
gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar
niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van nationale
gerubriceerde gegevens valt daaronder tevens de strafbaarstelling in het geval van
compromittering van nationale gerubriceerde gegevens.

Het Verdrag maakt de uitwisseling van nationale gerubriceerde gegevens mogelijk, maar
verplicht beide landen daar niet toe. Het is telkens de eigenstandige afweging van
de respectieve overheden om nationale gerubriceerde gegevens al dan niet uit te wisselen.
Deze uitwisseling kan plaatsvinden tussen overheden onderling, of tussen overheid
en bedrijfsleven, wanneer de overheid een gerubriceerde opdracht verleent aan een
bedrijf in het andere land. Dit Verdrag biedt Nederlandse bedrijven daarmee de mogelijkheid
om opdrachten voor Polen uit te voeren waarvoor toegang tot Poolse gerubriceerde gegevens
nodig is en vice versa.

Vanwege de nauwe banden tussen Nederland en Polen biedt dit Verdrag waarborgen voor
samenwerking in het geval dat nationale gerubriceerde gegevens moeten worden uitgewisseld.
Dit is bijvoorbeeld aan de orde op militair gebied.

Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen
schriftelijk en in een gezamenlijke fysieke sessie informatie uitgewisseld over de
respectieve nationale wet- en regelgeving voor de bescherming van nationale gerubriceerde
gegevens en de implementatie daarvan. Vervolgens is op basis daarvan de tekst van
het Verdrag afgerond, die aansluit bij de wet- en regelgeving en de uitvoeringspraktijk
in de beide landen.

Artikelsgewijze toelichting

Artikel 1

Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden
uitgewisseld tussen Nederland en Polen te waarborgen. Het Verdrag regelt dat de informatie
die onderling onder het Verdrag wordt uitgewisseld in beide landen een vergelijkbaar
en passend niveau van beveiliging krijgt. In het Verdrag zijn de veiligheidsprocedures
en regelingen voor de beveiliging vastgelegd.

Artikel 2

Artikel 2 bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen
overigens gebruikelijke, begrippen.

Artikel 3

De verantwoordelijke autoriteit voor de implementatie en uitvoering van het Verdrag
wordt in het Verdrag omschreven als de Competent Security Authority (CSA, zie ook
artikel 2, onder 4 van het Verdrag). Deze rol is in Nederland belegd bij de Algemene
Inlichtingen- en Veiligheidsdienst (AIVD).

De CSA is het eerste aanspreekpunt voor bedrijven en overheden uit beide landen over
de uitvoering van het Verdrag, ziet toe op de naleving van het Verdrag bij de eigen
overheid en de bedrijven die onder haar jurisdictie vallen en draagt zorg voor de
uitvoering van onderzoek ten behoeve van veiligheidsmachtigingen voor personen en/of
bedrijven.

De CSA is bevoegd bepaalde verantwoordelijkheden te delegeren aan een zogenoemde delegated
Competent Security Authority. Voor Nederland is dit de beveiligingsautoriteit (BA)
van het Ministerie van Defensie. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD)/Bureau
Industrieveiligheid (BIV) vervult deze rol in de richting van betrokken bedrijven
teneinde uitvoering te geven aan bepaalde verplichtingen, zoals het afgeven van veiligheidsmachtigingen
in het militaire domein.

Artikel 4

In het eerste lid van dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus
van de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus
die Nederland en Polen volgens hun wet- en regelgeving hanteren. Gerubriceerde informatie
die Nederland ontvangt van Polen zal worden beveiligd volgens de maatregelen zoals
die in Nederland gelden voor het equivalente nationale rubriceringsniveau. Vice versa
geldt hetzelfde.

Door gerubriceerde informatie afkomstig van de andere partij ook te voorzien van de
equivalente nationale rubricering (de «dubbele markering»), wordt de herkenbaarheid
vergroot en de naleving van de vereiste beveiligingsmaatregelen bevorderd. Deze waarborg
is vastgelegd in het tweede lid.

Het aanbrengen van een initiële rubricering is aan de partij onder wiens verantwoordelijkheid
de informatie in kwestie tot stand is gekomen. Dit brengt met zich mee, dat wijziging
of verwijdering van die rubricering tevens aan die partij is voorbehouden. Deze waarborg
is opgenomen in het derde lid.

Artikel 5

Dit artikel beschrijft onder welke voorwaarden toegang tot gerubriceerde informatie
verstrekt wordt. Zo dient men daarvoor geïnformeerd te zijn over de verantwoordelijkheden
ten aanzien van die toegang. Daarnaast dient de persoon die zich toegang wenst te
verschaffen gebonden te zijn aan geheimhouding, bijvoorbeeld door het ondertekenen
van een geheimhoudingsverklaring. Voor toegang tot gegevens met een rubricering van
Stg CONFIDENTIEEL en hoger, is daarnaast een persoonlijke veiligheidsmachtiging vereist
(zie het eerste lid van dit artikel). Deze screening vindt in Nederland plaats op
basis van de Wet Veiligheidsonderzoeken (Wvo).

Aangezien volgens de toepasselijke nationale wet- en regelgeving een veiligheidsmachtiging
niet nodig is, alvorens toegang kan worden verkregen tot DEPARTEMENTAAL VERTROUWELIJKE
gegevens, is in het tweede lid van dit artikel opgenomen dat voor die toegang enkel
de overige vereisten als genoemd in het eerste lid gelden.

Artikel 6

Dit artikel beschrijft maatregelen die partijen nemen ter beveiliging van gerubriceerde
gegevens. Zo geeft het eerste lid aan, dat partijen gerubriceerde informatie van de
andere partij minstens op dezelfde manier beveiligen als hun eigen gerubriceerde gegevens.

Het tweede en derde lid, omschrijven de verantwoordelijkheden van de verstrekkende
en ontvangende partij van gerubriceerde gegevens. Belangrijk hierbij om te vermelden
is, dat het aan de verdragsluitende partijen is om erop toe te zien dat deze verantwoordelijkheden
worden nageleefd.

Artikel 7

Tijdens de onderhandelingen die hebben geleid tot het Verdrag hebben beide partijen
elkaar geïnformeerd over de wederzijdse wet- en regelgeving en bijbehorende uitvoeringspraktijk.
Het eerste lid van dit artikel voorziet in een blijvende informatie-uitwisseling tussen
partijen daaromtrent.

Dit artikel ziet verder specifiek op samenwerking met betrekking tot de afgifte van
veiligheidsmachtigingen voor personen of bedrijven. Zo bepalen het tweede en derde
lid dat partijen de door elkaar afgegeven veiligheidsmachtigingen erkennen en elkaar
onderling kunnen bevragen over de geldigheid van afgegeven veiligheidsmachtigingen
voor personen of bedrijven. Ook zullen de partijen elkaar, in overeenstemming met
de nationale wet- en regelgeving, ondersteunen bij de uitvoering van onderzoeken ten
behoeve van de afgifte van voornoemde veiligheidsmachtigingen, aldus het vierde lid.
Dit kan bijvoorbeeld door informatie te verstrekken over personen indien deze personen
gedurende een deel van de onderzoeksperiode in hun land verblijf hebben gehad. In
aanvulling hierop, is in het vijfde lid van dit artikel bepaald dat partijen elkaar
informeren over wijzigingen in afgegeven veiligheidsmachtigingen voor personen of
bedrijven.

Artikel 8

Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door
de overheid van de ene partij aan bedrijven die vallen onder de jurisdictie van de
andere partij. Voor Nederlandse bedrijven die mee willen dingen naar een gerubriceerde
opdracht van de Poolse overheid zal door de Nederlandse overheid onderzoek worden
uitgevoerd ten behoeve van veiligheidsmachtigingen voor personen en bedrijven en zal
tijdens de uitoefening van de gerubriceerde opdracht bovendien periodiek toezicht
worden gehouden bij deze bedrijven. Deze procedure komt op hoofdlijnen overeen met
de gehanteerde procedures voor gerubriceerde opdrachten van internationale organisaties,
namelijk de EU, NAVO en ESA.

Het eerste lid bepaalt dat wanneer een partij of een bedrijf onder diens jurisdictie,
een gerubriceerde opdracht (vanaf het niveau Stg CONFIDENTIEEL en diens Poolse equivalent)
wil gunnen aan een bedrijf werkzaam onder de jurisdictie van de andere partij, eerst
een schriftelijke bevestiging dient te verkrijgen van de andere partij, dat het bedrijf
aan wie zij de opdracht wil gunnen over de benodigde veiligheidsmachtiging beschikt.
Als het bedrijf niet over deze veiligheidsmachtiging beschikt, moet hij deze aanvragen
bij de CSA. Het derde lid geeft aan dat wanneer sprake is van een openbare aanbesteding,
de CSA’s van partijen elkaar kunnen informeren of een bedrijf in het bezit is van
een veiligheidsmachtiging voor bedrijven. Hoewel een veiligheidsmachtiging voor bedrijven
in dat stadium nog geen vereiste is – gelet op de aanbestedende fase – is het voor
de aanbestedende partij wel van nut om te weten welke potentiele opdrachtnemers in
het bezit zijn van een veiligheidsmachtiging voor bedrijven.

In Nederland geldt binnen het militaire domein het vereiste van een veiligheidsmachtiging
voor bedrijven tevens voor gerubriceerde opdrachten op niveau DEPARTEMENTAAL VERTROUWELIJK.

Het tweede lid, kent aan de CSA de verantwoordelijkheid toe, om toezicht te houden
op bedrijven die een gerubriceerde opdracht aangaan.

Het derde lid, stelt eisen aan de gerubriceerde contracten, teneinde te bewerkstelligen
dat beveiligingseisen in de praktijk voor alle betrokken partijen kenbaar zijn en
juridisch kunnen worden afgedwongen.

Het kan in de praktijk voor komen dat bedrijven een (deel van een) gerubriceerde opdracht
uitbesteden aan een onderaannemer. Partijen hebben er belang aan gehecht om in het
zesde lid op te nemen dat de onderaannemer ook gehouden is aan de dezelfde bepalingen
als het bedrijf (zijnde de hoofdaannemer).

Artikel 9

Het eerste lid van dit artikel bepaalt dat nationale gerubriceerde gegevens tussen
partijen mogen worden uitgewisseld op de manier zoals bepaald in nationale wet- en
regelgeving, of op een andere wijze die altijd tussen de CSA’s wordt afgestemd.

Voor zover het gaat om elektronische verzending van nationale gerubriceerde gegevens,
geldt het vereiste van cryptografische middelen. De exacte procedure hiervoor zal
tussen CSA’s moeten worden afgestemd, aldus het tweede lid.

Artikel 10

Dit artikel bevat een aantal specifieke bepalingen omtrent de reproductie, vertaling
en vernietiging van gerubriceerde gegevens, met specifieke aandacht voor gegevens
met de hoogste rubricering en voor noodsituaties. Deze bepalingen zijn erop gericht
te waarborgen dat de partij van wie de betreffende gerubriceerde informatie afkomstig
is, zoveel als mogelijk controle houdt over de betreffende informatie.

Artikel 11

Dit artikel omschrijft de procedures voor wanneer een persoon een bedrijf of overheidslocatie
wenst te bezoeken, waarbij toegang tot nationale gerubriceerde gegevens nodig is.

Dit kan bijvoorbeeld het geval zijn, wanneer een medewerker van een Nederlands bedrijf
in de uitvoering van een gerubriceerde opdracht de Poolse overheid of een Pools bedrijf
wil bezoeken waarbij toegang tot (in dit geval Poolse) nationale gerubriceerde gegevens
nodig is. In een dusdanig geval, wordt via de in dit artikel beschreven procedure
bij de Nederlandse CSA nagegaan of de betrokkene op dat moment over een geldige veiligheidsmachtiging
beschikt. Dit wordt vervolgens gemeld aan de Poolse CSA voorafgaand aan het bezoek
en geldt als voorwaarde voor toegang tot de nationale (in dit geval Poolse) gerubriceerde
gegevens. Deze procedure geldt dus tevens vice versa.

Artikel 12

Dit artikel beschrijft de te doorlopen procedure in het geval van (vermoedelijke)
beveiligingsincidenten. Ook hier is een rol weggelegd voor de CSA van het land waar
het beveiligingsincident (mogelijk) heeft plaatsgevonden. Deze CSA doet immers onderzoek
naar dat beveiligingsincident. Waar nodig, werkt de CSA samen met de CSA van het andere
land.

Artikel 16

Volgens dit artikel zijn CSA’s bevoegd om, indien daar aanleiding toe bestaat, nadere
afspraken te maken ter uitvoering van het Verdrag. Als uiteengezet onder de toelichting
op artikel 3, kan de CSA bepaalde verantwoordelijkheden uitbesteden aan de Beveiligingsautoriteit
van het Ministerie van Defensie. In dit geval zal dat gebeuren voor nadere afspraken
die benodigd zijn in het militaire domein. Vanwege het specifieke beleid dat het Ministerie
van Defensie hanteert ten aanzien van beveiliging van gerubriceerde gegevens in het
militaire domein, is het voor het Ministerie van Defensie noodzakelijk dat, indien
er defensie of -industrie gerelateerde uitwisseling van gerubriceerde informatie voortvloeit
uit dit Verdrag, er nadere afspraken gemaakt worden. Hiervoor, alsmede voor de implementatie
van die afspraken, is het Ministerie van Defensie als eerste aanspreekpunt verantwoordelijk.

Artikel 17

Dit artikel bevat de gebruikelijke slotbepalingen.

In het vijfde lid is een bepaling opgenomen voor het geval het Verdrag beëindigd wordt.
De nationale gerubriceerde gegevens die op het moment van beëindiging onder de reikwijdte
van het Verdrag vallen, zullen de bescherming van het Verdrag behouden zolang ze een
onder het Verdrag verkregen nationale rubricering behouden.

Bijlage I

In Bijlage I staan de CSA’s, als verantwoordelijke autoriteiten, voor Nederland en
Polen opgenomen.

De Bijlage vormt een geïntegreerd onderdeel van het Verdrag en is van uitvoerende
aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge artikel 7, onderdeel
f van de Rijkswet goedkeuring en bekendmaking verdragen, geen parlementaire goedkeuring,
tenzij de Staten-Generaal zich thans het recht tot goedkeuring terzake voorbehouden.

Een ieder verbindende bepalingen

Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen
in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten
toekennen of plichten opleggen. Het gaat hierbij om artikel 8, eerste lid, en artikel
11, in verband met de positie van bedrijven aan of door wie die gerubriceerde opdrachten
zijn verleend of waaraan men opdrachten wil gunnen.

Koninkrijkspositie

Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese
en het Caribische deel van Nederland gelden. Dit is in lijn met de andere bilaterale
beveiligingsverdragen die Nederland heeft gesloten (laatstelijk met de republiek Finland,
Trb. 2022, nr. 20). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde
opdrachten voor de Poolse overheid uit te voeren en maakt het tevens mogelijk om informatie
die door de Poolse overheid wordt gedeeld met overheidsinstanties in het Caribische
deel van Nederland te delen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
H.G.J. Bruins Slot

De Minister van Buitenlandse Zaken,
W.B. Hoekstra

De Minister van Defensie,
K.H. Ollongren