Aan de Voorzitters van de Eerste en van de Tweede Kamer der Staten-Generaal

Den Haag, 11 april 2022

Overeenkomstig het bepaalde in artikel 2, eerste lid, en artikel 5, eerste lid, van de Rijkswet goedkeuring en bekendmaking verdragen, de Raad van State gehoord, heb ik de eer u hierbij ter stilzwijgende goedkeuring over te leggen het op 23 september 2021 te Madrid tot stand gekomen verdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk Spanje inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens (Trb. 2021, nr. 123).

Een toelichtende nota bij dit verdrag treft u eveneens hierbij aan.

De goedkeuring wordt voor het Europese deel en het Caribische deel van Nederland gevraagd.

De Minister van Buitenlandse Zaken, W.B. Hoekstra

TOELICHTENDE NOTA

Algemeen

Door middel van dit Verdrag verzekeren Nederland en Spanje zich ervan dat nationale gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van nationale gerubriceerde gegevens valt daaronder tevens de strafbaarstelling in het geval van compromittering van nationale gerubriceerde gegevens.

Het Verdrag maakt de uitwisseling van nationale gerubriceerde gegevens mogelijk, maar verplicht beide landen daar niet toe. Het is telkens de eigenstandige afweging van de respectieve overheden om nationale gerubriceerde gegevens al dan niet uit te wisselen. Deze uitwisseling kan plaatsvinden tussen overheden onderling, of tussen overheid en bedrijfsleven, wanneer de overheid een gerubriceerde opdracht verleent aan een bedrijf in het andere land. Dit Verdrag biedt Nederlandse bedrijven daarmee de mogelijkheid om opdrachten voor Spanje uit te voeren waarvoor toegang tot Spaanse gerubriceerde gegevens nodig is en vice versa.

Vanwege de nauwe banden tussen Nederland en Spanje biedt dit Verdrag waarborgen voor samenwerking in het geval dat nationale gerubriceerde gegevens moeten worden uitgewisseld. Dit is met name aan de orde op militair gebied.

Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen schriftelijk en in een gezamenlijke sessie informatie uitgewisseld over de respectieve nationale wet- en regelgeving voor de bescherming van nationale gerubriceerde gegevens en de implementatie daarvan. Vervolgens is op basis daarvan de verdragstekst afgerond, die aansluit bij de wet- en regelgeving en de uitvoeringspraktijk in de beide landen.

Artikelsgewijze toelichting

Artikel 1

Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden uitgewisseld tussen Nederland en Spanje te waarborgen. Het Verdrag regelt dat de informatie die onderling wordt uitgewisseld in beide landen een vergelijkbaar en passend niveau van beveiliging krijgt. In het Verdrag zijn de veiligheidsprocedures en regelingen voor de beveiliging vastgelegd.

Artikel 2

Artikel 2 bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen gebruikelijke, begrippen.

Artikel 3

De verantwoordelijke autoriteit voor de uitvoering van het Verdrag is in beide landen de National Security Authority (NSA), in Nederland ondergebracht bij de AIVD. De NSA is het eerste aanspreekpunt voor bedrijven en overheden uit beide landen over de uitvoering van het Verdrag, ziet toe op de naleving van het Verdrag bij de eigen overheid en de bedrijven die onder haar jurisdictie vallen en draagt zorg voor de uitvoering van onderzoek ten behoeve van veiligheidsmachtigingen voor personen en/of bedrijfslocaties.

Artikel 4

In dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus van de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus die Nederland en Spanje hanteren. Gerubriceerde informatie die Nederland ontvangt van Spanje zal worden beveiligd volgens de maatregelen zoals die in Nederland gelden voor het equivalente nationale rubriceringsniveau. Vice versa geldt hetzelfde. Door gerubriceerde informatie afkomstig van de andere partij ook te voorzien van de equivalente nationale rubricering, wordt de herkenbaarheid vergroot en de naleving van de vereiste beveiligingsmaatregelen bevorderd.

Artikel 5

Het eerste lid gaat in op de vereisten voor toegang tot staatsgeheime gegevens. Anders dan bij Departementaal Vertrouwelijke gegevens is voor toegang tot staatsgeheime gegevens een persoonlijke veiligheidsmachtiging vereist. Deze screening vindt in Nederland plaats op basis van de Wet Veiligheidsonderzoeken. Het tweede lid bepaalt dat voor Departementaal Vertrouwelijke gegevens geen veiligheidsonderzoek nodig is, maar wel need-to-know (noodzaak vanuit de functie om kennis te nemen van specifieke informatie) en voorlichting over de in acht te nemen veiligheidsmaatregelen. Dit is in lijn met het VIRBI 2013.

Artikel 6

In aansluiting op artikel 4 wordt in dit artikel bepaald dat de gegevens door beide partijen op de juiste wijze worden gerubriceerd, dat de partijen elkaar wederzijds informeren dan wel consulteren als zij de rubricering willen wijzigen of nationaal gerubriceerde gegevens willen delen met een derde partij, en dat beide partijen nationaal gerubriceerde gegevens enkel voor het doel gebruiken waarvoor zij zijn verstrekt.

Artikel 7

Tijdens de onderhandelingen die hebben geleid tot het Verdrag hebben beide partijen elkaar geïnformeerd over de wederzijdse wet- en regelgeving en bijbehorende uitvoeringspraktijk. Dit artikel voorziet in een blijvende informatie-uitwisseling over voor de andere partij relevante wijzigingen daarvan. Tevens wordt geregeld dat de partijen elkaar onderling kunnen bevragen over de geldigheid van afgegeven veiligheidsmachtigingen voor personen of bedrijfslocaties. Ook zullen de partijen elkaar – in overeenstemming met de nationale wet- en regelgeving – ondersteunen bij de uitvoering van onderzoeken ten behoeve van de afgifte van voornoemde veiligheidsmachtigingen, door informatie te verstrekken over personen als deze personen gedurende een deel van de onderzoeksperiode in hun land verblijf hebben gehad.

Artikel 8

Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door de overheid van de ene partij aan bedrijven die vallen onder de andere partij. Voor Nederlandse bedrijven die mee willen dingen naar een gerubriceerde opdracht van de Spaanse overheid zal door de Nederlandse overheid onderzoek worden uitgevoerd ten behoeve van veiligheidsmachtigingen voor personeel en bedrijfslocaties en zal tijdens de uitoefening van de gerubriceerde opdracht periodiek toezicht worden gehouden bij deze bedrijven. Deze procedure komt op hoofdlijnen overeen met de gehanteerde procedures voor gerubriceerde opdrachten van internationale organisaties, namelijk de EU, NAVO en ESA.

Het eerste lid van dit artikel bepaalt dat wanneer een partij, of een bedrijf onder diens jurisdictie een gerubriceerde opdracht (vanaf het niveau Staatsgeheim CONFIDENTIEEL en diens Spaanse equivalent), wil gunnen aan een bedrijf werkzaam onder de jurisdictie van de andere partij, eerst een schriftelijke bevestiging dient te verkrijgen van de andere partij, dat het bedrijf aan wie zij de opdracht wil gunnen over de benodigde veiligheidsmachtiging beschikt. Als het bedrijf niet over deze veiligheidsmachtiging beschikt, moet hij deze aanvragen bij de verantwoordelijke autoriteit.

Artikel 9

Dit artikel bepaalt dat nationale gerubriceerde gegevens mogen worden uitgewisseld zoals bepaald in nationale wet- en regelgeving. Voor zover het gaat om nationale gerubriceerde gegevens die met encryptie beveiligd zijn is vooraf wederzijds akkoord nodig van de beide NSA’s over de toe te passen procedure. Ter bescherming van de nationaal gehanteerde cryptografische middelen voor de beveiliging van nationale gerubriceerde gegevens zullen specifieke cryptografische middelen gebruikt worden voor de onderlinge uitwisseling tussen beide landen. Hierover zullen, indien opportuun, specifieke afspraken worden gemaakt.

Artikel 10

Dit artikel bevat een aantal specifieke bepalingen omtrent de reproductie, vertaling en vernietiging van gerubriceerde informatie, met specifieke aandacht voor de hoogste rubricering en voor noodsituaties. Deze bepalingen zijn erop gericht te waarborgen dat de partij van wie de betreffende gerubriceerde informatie afkomstig is, zoveel als mogelijk controle houdt over de betreffende informatie.

Artikel 11

Dit artikel sluit aan op artikel 8 omdat het is bedoeld voor medewerkers van bedrijven. Wanneer bijvoorbeeld een medewerker van een Nederlands bedrijf in de uitvoering van een gerubriceerde opdracht de Spaanse overheid of een Spaans bedrijf wil bezoeken waarbij toegang tot nationale gerubriceerde gegevens nodig is, wordt via de in dit artikel beschreven procedure bij de Nederlandse NSA nagegaan of de betrokkene op dat moment over een geldige veiligheidsmachtiging beschikt. Dit wordt gemeld aan de Spaanse NSA voorafgaand aan het bezoek en geldt als voorwaarde voor toegang tot de nationale gerubriceerde gegevens. Deze procedure geldt tevens vice versa.

Artikel 15

In dit artikel is bepaald dat internationale afspraken die specifieke handelingen regelen prevaleren. Te denken valt aan specifieke verdragen met betrekking tot internationale organisaties, zoals de EU1 en de NAVO2, voor de onderlinge uitwisseling van nationale gerubriceerde gegevens. Dit Verdrag heeft alleen betrekking op de uitwisseling van nationale gerubriceerde gegevens tussen Nederland en Spanje.

Artikel 16

Volgens dit artikel zijn de beveiligingsautoriteiten bevoegd om, indien daar aanleiding toe bestaat, verdere afspraken te maken ter uitvoering van het Verdrag. Een voorbeeld is het gebruik van cryptografische middelen voor de digitale uitwisseling van nationale gerubriceerde gegevens, zoals bedoeld in artikel 9.

Artikel 17

Dit artikel bevat de gebruikelijke slotbepalingen. Daarnaast is in lid 5 een overgangsregeling opgenomen voor het geval het Verdrag beëindigd wordt. De nationale gerubriceerde gegevens die op het moment van beëindiging onder de reikwijdte van het Verdrag vallen, zullen de bescherming van het Verdrag behouden zolang ze de onder het Verdrag verkregen classificatie behouden.

Bijlage I

In Bijlage I staan de bevoegde veiligheidsautoriteiten voor Nederland en Spanje opgenomen. De bevoegde veiligheidsautoriteit voor de uitvoering van het Verdrag is in beide landen de daartoe aangewezen NSA.

De Bijlage vormt een geïntegreerd onderdeel van het Verdrag en is aan te merken als zijnde van uitvoerende aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge artikel 7, onderdeel f van de Rijkswet goedkeuring en bekendmaking verdragen, geen parlementaire goedkeuring, tenzij de Staten-Generaal zich thans het recht tot goedkeuring terzake voorbehouden.

Een ieder verbindende bepalingen

Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten toekennen of plichten opleggen. Het gaat hierbij om artikel 8, eerste lid, en artikel 11, in verband met de positie van bedrijven aan of door wie die gerubriceerde opdrachten zijn verleend of waaraan men opdrachten wil gunnen.

Koninkrijkspositie

Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese en het Caribische deel van Nederland gelden. Dit is in lijn met de andere bilaterale beveiligingsverdragen die Nederland heeft gesloten (laatstelijk met het Koninkrijk België, Trb. 2019, nr. 169). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde opdrachten voor de Spaanse overheid uit te voeren en maakt het tevens mogelijk om informatie die door de Spaanse overheid wordt gedeeld met overheidsinstanties in het Caribische deel van Nederland te delen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, H.G.J. Bruins Slot

De Minister van Buitenlandse Zaken, W.B. Hoekstra

De Minister van Defensie, K.H. Ollongren