Brief regering : Verdrag tussen het Koninkrijk der Nederlanden en Oekraïne inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Kyiv, 5 februari 2024

A/ Nr. 1 BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Ter griffie van de Eerste en van de Tweede Kamer der Staten-Generaal ontvangen op
13 november 2024.

De wens dat het verdrag aan de uitdrukkelijke goedkeuring van de Staten-Generaal wordt
onderworpen kan door of namens één van de Kamers of door ten minste vijftien leden
van de Eerste Kamer dan wel dertig leden van de Tweede Kamer te kennen worden gegeven
uiterlijk op 13 december 2024.

Aan de Voorzitters van de Eerste en van Tweede Kamer der Staten-Generaal

Den Haag, 11 november 2024

Overeenkomstig het bepaalde in artikel 2, eerste lid, en artikel 5, eerste lid, van
de Rijkswet goedkeuring en bekendmaking verdragen, de Raad van State gehoord, heb
ik de eer u hierbij ter stilzwijgende goedkeuring over te leggen het op 5 februari
2024 te Kyiv tot stand gekomen Verdrag tussen het Koninkrijk der Nederlanden en Oekraïne
inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens (Trb. 2024, nr. 30).

Een toelichtende nota bij het verdrag treft u eveneens hierbij aan.

De goedkeuring wordt voor het Europese deel en het Caribische deel van Nederland gevraagd.

De Minister van Buitenlandse Zaken, C.C.J. Veldkamp

TOELICHTENDE NOTA

Algemeen

Door middel van dit Verdrag verzekeren Nederland en Oekraïne zich ervan dat nationale
gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar
niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van nationale
gerubriceerde gegevens valt daaronder tevens de strafbaarstelling in het geval van
compromittering van nationale gerubriceerde gegevens.

Het Verdrag maakt de uitwisseling van nationale gerubriceerde gegevens mogelijk, maar
verplicht beide landen daar niet toe. Het is telkens de eigenstandige afweging van
de respectieve overheden om nationale gerubriceerde gegevens al dan niet uit te wisselen.

Nederland heeft zich gecommitteerd aan langjarige (militaire) en brede steun aan Oekraïne.1 In dit kader kan het voor komen dat nationale gerubriceerde gegeven tussen de twee
landen uitgewisseld moeten worden. Dit Verdrag biedt de nodige waarborgen ten aanzien
van de beveiliging van nationale gerubriceerde gegevens en bevordert daarmee de samenwerking
tussen de twee landen op het gebied van het leveren van steun.

De uitwisseling van nationale gerubriceerde gegevens kan plaatsvinden tussen overheden
onderling, of tussen overheid en bedrijfsleven, wanneer de overheid een gerubriceerde
opdracht verleent aan een bedrijf in het andere land. Het Verdrag biedt derhalve ook
Nederlandse bedrijven de mogelijkheid om opdrachten voor Oekraïne uit te voeren waarvoor
toegang tot Oekraïense gerubriceerde gegevens nodig is en vice versa.

Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen
schriftelijk informatie uitgewisseld over de respectieve nationale wet- en regelgeving
voor de bescherming van nationale gerubriceerde gegevens en de implementatie daarvan.
Vervolgens is op basis daarvan de tekst van het Verdrag opgesteld en afgerond, die
aansluit bij de wet- en regelgeving en de uitvoeringspraktijk in de beide landen.

Artikelsgewijze toelichting

Artikel 1 Doel en reikwijdte

Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden
uitgewisseld tussen Nederland en Oekraïne te waarborgen. In het Verdrag zijn de procedures
en regelingen voor de beveiliging vastgelegd.

Artikel 2 Begripsomschrijvingen

Artikel 2 bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen
overigens gebruikelijke, begrippen.

Artikel 3 Bevoegde beveiligingsautoriteiten

De verantwoordelijke autoriteit voor de implementatie en uitvoering van het Verdrag
wordt in het Verdrag omschreven als de Competent Security Authority (CSA, zie ook
artikel 2 onder d van het Verdrag). Deze rol is in Nederland belegd bij de Algemene
Inlichtingen- en Veiligheidsdienst (AIVD).

De CSA is het eerste aanspreekpunt voor bedrijven en overheden uit beide landen over
de uitvoering van het Verdrag, ziet toe op de naleving van het Verdrag bij de eigen
overheid en de bedrijven die onder haar jurisdictie vallen en draagt zorg voor de
uitvoering van onderzoek ten behoeve van veiligheidsmachtigingen voor personen en/of
bedrijven.

De CSA is bevoegd bepaalde verantwoordelijkheden te delegeren aan een zogenoemde delegated
Competent Security Authority. Voor Nederland is dit de beveiligingsautoriteit (BA)
van het Ministerie van Defensie. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD)/Bureau
Industrieveiligheid (BIV) heeft hierin een aantal taken in de richting van betrokken
bedrijven teneinde uitvoering te geven aan bepaalde verplichtingen, zoals het afgeven
van veiligheidsmachtigingen in het militaire domein.

Artikel 4 Rubriceringsniveaus

In het eerste lid van dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus
van de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus
die Nederland en Oekraïne volgens hun wet- en regelgeving hanteren. Gerubriceerde
informatie die Nederland ontvangt van Oekraïne zal worden beveiligd volgens de maatregelen
zoals die in Nederland gelden voor het equivalente nationale rubriceringsniveau. Vice
versa geldt hetzelfde.

Door gerubriceerde informatie afkomstig van de andere partij ook te voorzien van de
equivalente nationale rubricering (de «dubbele markering»), wordt de herkenbaarheid
vergroot en de naleving van de vereiste beveiligingsmaatregelen bevorderd. Deze waarborg
is vastgelegd in het tweede lid van dit artikel.

Het aanbrengen van een initiële rubricering is aan de partij onder wiens verantwoordelijkheid
de informatie in kwestie tot stand is gekomen. Dit brengt met zich mee, dat wijziging
of verwijdering van die rubricering tevens aan die partij is voorbehouden. Deze waarborg
is opgenomen in het derde lid.

Artikel 5 Toegang tot gerubriceerde gegevens

Dit artikel beschrijft onder welke voorwaarden toegang tot gerubriceerde informatie
verstrekt wordt. Zo dient men een Need to know te hebben. Daarnaast dient de persoon
die zich toegang wenst te verschaffen tot gerubriceerde gegevens daartoe geautoriseerd
te zijn conform de wet- en regelgeving van de ontvangende partij.

Artikel 6 Beveiligingsmaatregelen

Het eerste lid geeft de verplichting van partijen weer om alle onder de nationale
wet- en regelgeving benodigde maatregelen te treffen om de veiligheid van de onder
het Verdrag uitgewisselde gegevens te kunnen waarborgen.

Het tweede en derde lid omschrijven de verschillende verantwoordelijkheden van de
verstrekkende en ontvangende partij van gerubriceerde gegevens. Daaronder valt bijvoorbeeld
de plicht van de verstrekkende partij om de partij die deze informatie ontvangt altijd
te informeren over veranderingen van de rubricering. Onder de verantwoordelijkheid
van de ontvangende partij valt bijvoorbeeld de plicht om ervoor zorg te dragen dat
er geen aanpassingen of verwijderingen van rubriceringsniveaus plaatsvinden zonder
de voorafgaande schriftelijke toestemming van de verstrekkende partij. Belangrijk
hierbij om te vermelden is, dat het aan de verdragsluitende partijen is om erop toe
te zien dat deze verantwoordelijkheden worden nageleefd.

Artikel 7 Beveiligingssamenwerking

Tijdens de onderhandelingen die hebben geleid tot het Verdrag hebben partijen elkaar
geïnformeerd over de wederzijdse wet- en regelgeving en bijbehorende uitvoeringspraktijk.
Het eerste lid van dit artikel voorziet in de mogelijkheid om desgewenst informatie
daaromtrent uit te wisselen.

Dit artikel ziet verder specifiek op samenwerking met betrekking tot de (veiligheidsonderzoeken
ten behoeve van de) afgifte van veiligheidsmachtigingen voor personen of bedrijven.
Het betreft uitsluitend de samenwerking met betrekking tot het afgeven van veiligheidsmachtigingen
voor personen of bedrijven in de gevallen waarbij uitwisseling van onder dit verdrag
bedoelde gerubriceerde gegevens aan de orde is.

Zo kunnen partijen elkaar onderling bevragen over de geldigheid van afgegeven veiligheidsmachtigingen
voor personen of bedrijven, aldus het tweede lid. Ook zullen partijen elkaar desgevraagd
ondersteunen bij de uitvoering van onderzoeken ten behoeve van de afgifte van voornoemde
veiligheidsmachtigingen, volgens het derde lid. Dit kan bijvoorbeeld door informatie
te verstrekken over personen indien deze personen gedurende een deel van de onderzoeksperiode
in hun land verblijf hebben gehad. Het verstrekken van de informatie – en meer in
het algemeen enige vorm van samenwerking zoals bedoeld in dit artikel – gebeurt uitsluitend
in overeenstemming met de nationale wet- en regelgeving. De relevante wet- en regelgeving
ten behoeve van het afgeven van veiligheidsmachtigingen voor personen in Nederland
betreft de Wet op inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) en de Wet Veiligheidsonderzoeken.
In Nederland is de Unit Veiligheidsonderzoeken van de AIVD en de MIVD belast met het
uitvoeren van de veiligheidsonderzoeken in het kader van de afgifte van veiligheidsmachtigingen
onder dit verdrag en binnen het civiele en militaire domein.

Voorafgaand aan het verstrekken van informatie aan de verdragspartij – in dit geval
Oekraïne – in het kader van de afgifte van veiligheidsmachtigingen wordt nagegaan
of er een zodanige samenwerkingsrelatie ex artikel 88 Wiv 2017 bestaat dat de verstrekking
verantwoord kan gebeuren.

Indien een daartoe geëigende samenwerkingsrelatie ontbreekt zal geen verstrekking
van informatie aan Oekraïne plaatsvinden.

De samenwerking met Oekraïne is derhalve te allen tijde onderworpen aan de nationale
wet- en regelgeving en de nadere voorwaarden die daarin aan dergelijke samenwerkingen
zijn gesteld.

In het vierde lid is bepaald dat partijen elkaar informeren over wijzigingen in afgegeven
veiligheidsmachtigingen voor personen of bedrijven die werkzaam zijn met gerubriceerde
gegevens die onder dit verdrag worden uitgewisseld. Waarbij het vijfde en laatste
lid van dit artikel de voertaal tussen partijen aangeeft voor wat betreft de samenwerking
als omschreven in dit artikel.

Artikel 8 Gerubriceerde contracten

Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door
de overheid van de ene partij aan bedrijven die vallen onder de jurisdictie van de
andere partij. Het betreft slechts gerubriceerde opdrachten op het niveau Stg. GEHEIM
of lager. Het verlenen van gerubriceerde opdrachten op het niveau Stg. ZEER GEHEIM
werd niet wenselijk bevonden en is derhalve uitgesloten.

Voor Nederlandse bedrijven die mee willen dingen naar een gerubriceerde opdracht van
de Oekraïense overheid zal door de Nederlandse overheid onderzoek worden uitgevoerd
ten behoeve van veiligheidsmachtigingen voor personen en bedrijven en zal tijdens
de uitoefening van de gerubriceerde opdracht bovendien periodiek toezicht worden gehouden
bij deze bedrijven. Deze procedure komt op hoofdlijnen overeen met de gehanteerde
procedures voor gerubriceerde opdrachten van internationale organisaties, namelijk
de EU, NAVO en ESA.

Het eerste lid van dit artikel bepaalt dat wanneer een partij of een bedrijf onder
diens jurisdictie een gerubriceerde opdracht van het niveau Stg. CONFIDENTIEEL en
Stg. GEHEIM (en de Oekraïense equivalenten daarvan) wil gunnen aan een bedrijf werkzaam
onder de jurisdictie van de andere partij, deze partij/ dit bedrijf eerst een schriftelijke
bevestiging dient te verkrijgen van de andere partij dat het bedrijf aan wie zij/
het de opdracht wil gunnen over de benodigde veiligheidsmachtiging beschikt. Als het
bedrijf niet over deze veiligheidsmachtiging beschikt, moet dat bedrijf deze aanvragen
bij de CSA. In Nederland geldt, binnen het militaire domein, het vereiste van een
veiligheidsmachtiging voor bedrijven tevens voor gerubriceerde opdrachten op niveau
DEPARTEMENTAAL VERTROUWELIJK. Dit verklaart toevoeging van de laatste zin in het eerste
lid.

Het tweede lid kent aan de CSA de verantwoordelijkheid toe om toezicht te houden op
bedrijven die een gerubriceerde opdracht aangaan. Hierbij geven sub d en sub e van
dit artikellid de aanvullende eisen aan voor zover het gaat om rubriceringen op het
niveau Stg. CONFIDENTIEEL en Stg. GEHEIM. Het betreft de vereiste om over de benodigde
veiligheidsmachtigingen te beschikken.

Het derde lid stelt eisen aan de gerubriceerde contracten, teneinde te bewerkstelligen
dat beveiligingseisen in de praktijk voor alle betrokken partijen kenbaar zijn en
juridisch kunnen worden afgedwongen. Het vierde lid geeft aan op welke wijze de CSA
van een land diens counterpart van het andere land onder dit Verdrag zal informeren
over de beveiligingseisen. Het zesde en laatste lid van dit artikel bevat een verwijzing
naar artikel 11 van het Verdrag, dat specifiek ingaat op de procedures voor wanneer
een persoon een bedrijf of overheidslocatie wenst te bezoeken, waarbij toegang tot
nationale gerubriceerde gegevens nodig is.

Het kan in de praktijk voor komen dat bedrijven een (deel van een) gerubriceerde opdracht
uitbesteden aan een onderaannemer. Vandaar dat het vijfde lid bepaalt dat «sub-contractors»
zich aan dit Verdrag dienen te houden.

Artikel 9 Overbrenging van gerubriceerde gegevens

Het eerste lid van dit artikel bepaalt dat de uitwisseling van nationale gerubriceerde
gegevens plaatsvindt in overeenstemming met de nationale wet- en regelgeving van het
land van de verstrekkende partij of op een wijze die tussen de CSA’s wordt afgestemd.

Voor zover het gaat om elektronische verzending van nationale gerubriceerde gegevens,
geldt het vereiste van cryptografische middelen. De exacte procedure hiervoor zal
tussen CSA’s moeten worden afgestemd, aldus het tweede lid.

Artikel 10 Reproductie, vertaling en vernietiging van gerubriceerde gegevens

Dit artikel bevat een aantal specifieke bepalingen omtrent de reproductie, vertaling
en vernietiging van gerubriceerde gegevens, met specifieke aandacht voor gegevens
met de hoogste rubricering en voor noodsituaties. Deze bepalingen zijn erop gericht
te waarborgen dat de partij van wie de betreffende gerubriceerde informatie afkomstig
is, zoveel als mogelijk controle houdt over de betreffende informatie.

Artikel 11 Bezoeken

Dit artikel omschrijft de procedures voor wanneer een persoon een bedrijf of overheidslocatie
wenst te bezoeken, waarbij toegang tot nationale gerubriceerde gegevens nodig is.

Dit kan bijvoorbeeld het geval zijn wanneer een medewerker van een Nederlands bedrijf
in de uitvoering van een gerubriceerde opdracht de Oekraïense overheid of een Oekraiens
bedrijf wil bezoeken waarbij toegang tot (in dit geval Oekraïense) nationale gerubriceerde
gegevens nodig is. Een dergelijk bezoek kan in beginsel slechts plaatsvinden met de
schriftelijke goedkeuring van de Oekraïense CSA. Deze procedure geldt tevens vice
versa.

Artikel 12 Beveiligingsincident

Dit artikel beschrijft de te doorlopen procedure in het geval van (vermoedelijke)
beveiligingsincidenten. Hier is een rol weggelegd voor de CSA’s. De CSA van het land
waar het beveiligingsincident (mogelijk) heeft plaatsgevonden informeert de CSA van
het land waar de gerubriceerde gegevens vandaan komen over het (vermoedelijke) beveiligingsincident.
Dit staat omschreven in het eerste lid.

De ontvangende partij zal het beveiligingsincident onderzoeken. De verstrekkende partij
kan daarbij assisteren, aldus het tweede lid.

Het derde lid bepaalt vervolgens dat de CSA van het land waar het beveiligingsincident
heeft plaatsgevonden, verantwoordelijk is voor het nemen van mitigerende maatregelen,
alsmede maatregelen teneinde herhaling te voorkomen. Deze CSA informeert de CSA van
het land waar de gerubriceerde gegevens vandaan komen over deze maatregelen.

Artikel 16 Uitvoeringsregelingen

Volgens dit artikel zijn CSA’s bevoegd om, indien daar aanleiding toe bestaat, nadere
afspraken te maken ter uitvoering van het Verdrag. Dit kan nadere afspraken betreffen
die benodigd zijn bijvoorbeeld in het militaire domein. Vanwege het specifieke beleid
dat het Ministerie van Defensie hanteert ten aanzien van beveiliging van gerubriceerde
gegevens in het militaire domein, zou het voor het Ministerie van Defensie noodzakelijk
kunnen zijn dat, indien er defensie of -industrie gerelateerde uitwisseling van gerubriceerde
informatie voortvloeit uit dit Verdrag, er nadere afspraken gemaakt worden. Hiervoor,
alsmede voor de implementatie van die afspraken, is het Ministerie van Defensie als
eerste aanspreekpunt verantwoordelijk.

Artikel 17 Slotbepalingen

Dit artikel bevat de gebruikelijke slotbepalingen.

In het vijfde lid is een bepaling opgenomen voor het geval het Verdrag beëindigd wordt.
De nationale gerubriceerde gegevens die onder het Verdrag zijn uitgewisseld, zullen
beschermd blijven onder het Verdrag zolang ze hun rubricering behouden.

Bijlage I

In Bijlage I staan de CSA’s, als verantwoordelijke autoriteiten, voor Nederland en
Oekraïne opgenomen.

De Bijlage vormt een geïntegreerd onderdeel van het Verdrag en is van uitvoerende
aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge artikel 7, onderdeel f
van de Rijkswet goedkeuring en bekendmaking verdragen, geen parlementaire goedkeuring,
tenzij de Staten-Generaal zich thans het recht tot goedkeuring terzake voorbehouden.

Een ieder verbindende bepalingen

Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen
in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten
toekennen of plichten opleggen. Het gaat hierbij om artikel 5, artikel 6, tweede en
derde lid, artikel 8, eerste en vijfde lid, artikel 9, artikel 10, artikel 11, artikel 12,
tweede lid en artikel 17, derde lid, in verband met de positie van bedrijven aan of
door wie die gerubriceerde opdrachten zijn verleend of waaraan men opdrachten wil
gunnen.

Koninkrijkspositie

Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese
en het Caribische deel van Nederland gelden (zie ook artikel 17, tweede lid). Dit
is in lijn met de andere bilaterale beveiligingsverdragen die Nederland heeft gesloten
(bijvoorbeeld met de Republiek Polen, Trb. 2023, 18). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde
opdrachten voor de Oekraïense overheid uit te voeren en maakt het tevens mogelijk
om informatie die door de Oekraïense overheid wordt gedeeld met overheidsinstanties
in het Caribische deel van Nederland te delen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, J.J.M. Uitermark

De Minister van Buitenlandse Zaken, C.C.J. Veldkamp

De Minister van Defensie, R.P. Brekelmans