22007A0503(01)

VERTALING

Overeenkomst

tussen de Europese Unie en de Regering van de Verenigde Staten van Amerika inzake de beveiliging van gerubriceerde gegevens

DE REGERING VAN DE VERENIGDE STATEN VAN AMERIKA, hierna "de Verenigde Staten-regering" genoemd,

en

DE EUROPESE UNIE, hierna "de EU" genoemd, hierna "de partijen" genoemd,

OVERWEGENDE DAT de Verenigde Staten-regering en de EU zich beide ten doel stellen, hun eigen veiligheid op alle mogelijke manieren te versterken en hun burgers een hoog niveau van veiligheid in een veilige ruimte te bieden;

OVERWEGENDE DAT de Verenigde Staten-regering en de EU het erover eens zijn dat onderling overleg en onderlinge samenwerking over beveiligingsaangelegenheden van gemeenschappelijk belang geboden zijn;

OVERWEGENDE DAT er in dit verband een voortdurende behoefte bestaat aan uitwisseling van gerubriceerde gegevens tussen de Verenigde Staten-regering en de EU;

ERKENNENDE DAT het voor een volledig en doeltreffend overleg en dito samenwerking nodig kan zijn dat toegang wordt verleend tot gerubriceerde gegevens van de Verenigde Staten-regering en van de EU, en dat gerubriceerde gegevens worden uitgewisseld tussen de Verenigde Staten-regering en de EU;

ZICH ERVAN BEWUST dat een dergelijke toegang tot en uitwisseling van gerubriceerde gegevens passende beveiligingsmaatregelen vereisen,

HEBBEN OVEREENSTEMMING BEREIKT OVER HETGEEN VOLGT:

Artikel 1

Toepassingsgebied

1. Deze overeenkomst is van toepassing op gerubriceerde gegevens die door de ene partij aan de andere partij worden verstrekt of die tussen de partijen worden uitgewisseld.

2. Elke partij beschermt de van de andere partij ontvangen gerubriceerde gegevens, met name tegen openbaarmaking zonder machtiging, volgens het bepaalde in deze overeenkomst en volgens de respectieve wet- en regelgeving van de partijen.

Artikel 2

Definities

1. In deze overeenkomst wordt onder "de EU" verstaan: de Raad van de Europese Unie (hierna "de Raad" genoemd), de secretaris-generaal/hoge vertegenwoordiger en het secretariaat-generaal van de Raad, alsook de Commissie van de Europese Gemeenschappen (hierna "de Commissie" genoemd).

2. In deze overeenkomst wordt onder "gerubriceerde gegevens" verstaan: aan deze overeenkomst onderworpen gegevens en materiaal i) waarvan openbaarmaking zonder machtiging de belangen van de Verenigde Staten-regering, de EU of een of meer van haar lidstaten in meerdere of mindere mate zou kunnen schaden of benadelen; ii) die in verband met veiligheidsbelangen van de Verenigde Staten-regering of de EU moeten worden beschermd tegen openbaarmaking zonder machtiging; en iii) die een door de Verenigde Staten-regering of de EU toegekende veiligheidsrubricering dragen. De gegevens kunnen in mondelinge, visuele, elektronische, magnetische of documentaire vorm zijn, dan wel in de vorm van materiaal, uitrusting of technologie daaronder begrepen.

Artikel 3

Beveiligingsrubriceringen

1. Gerubriceerde gegevens worden als volgt aangeduid:

a) voor de Verenigde Staten-regering worden gerubriceerde gegevens aangeduid met TOP SECRET, SECRET of CONFIDENTIAL.

b) Voor de EU worden gerubriceerde gegevens aangeduid met TRÈS SECRET UE/EU TOP SECRET, SECRET UE, CONFIDENTIEL UE of RESTREINT UE.

2. De met elkaar overeenkomende beveiligingsrubriceringen zijn:

In de Europese Unie | In de Verenigde Staten van Amerika |

TRÈS SECRET UE/EU TOP SECRET | TOP SECRET |

SECRET UE | SECRET |

CONFIDENTIEL UE | CONFIDENTIAL |

RESTREINT UE | (geen gelijkwaardige Verenigde Staten-rubricering) |

3. Op gerubriceerde gegevens die door de ene partij aan de andere worden verstrekt, moeten door middel van een stempel, markering of aanduiding de naam van de verstrekkende partij worden vermeld. Gerubriceerde gegevens die door de ene partij aan de andere worden verstrekt, worden door de ontvangende partij beschermd op een wijze die ten minste gelijkwaardig is aan de bescherming die de verstrekkende partij aan deze gegevens geeft.

Artikel 4

Bescherming van gerubriceerde gegevens

1. Elke partij beschikt over een beveiligingssysteem en over beveiligingsmaatregelen gebaseerd op de grondbeginselen en minimumnormen voor de beveiliging die zijn vastgelegd in haar wet- en regelgeving, om te waarborgen dat er een gelijkwaardig beschermingsniveau voor gerubriceerde gegevens wordt toegepast. Elke partij verstrekt de andere partij, op verzoek, informatie over haar beveiligingsnormen, -procedures en -praktijken, waaronder opleiding, op het gebied van de bescherming van gerubriceerde gegevens.

2. De ontvangende partij geeft aan gerubriceerde gegevens die zij heeft ontvangen van de verstrekkende partij een mate van bescherming die ten minste gelijkwaardig is aan die welke door de verstrekkende partij aan deze gegevens wordt gegeven.

3. De ontvangende partij gebruikt noch geeft toestemming voor het gebruik van gerubriceerde gegevens voor andere doeleinden dan waarvoor zij zijn verstrekt, zonder voorafgaande schriftelijke toestemming te hebben gekregen van de verstrekkende partij.

4. De ontvangende partij gaat niet zonder voorafgaande schriftelijke toestemming van de verstrekkende partij over tot verdere vrijgave of openbaarmaking van gerubriceerde gegevens.

5. De ontvangende partij neemt bij openbaarmaking van gerubriceerde gegevens alle beperkingen inzake de verdere vrijgave van die gegevens in acht die eventueel door de verstrekkende partij zijn gespecificeerd.

6. De ontvangende partij zorgt ervoor dat de rechten van de bron van in het kader van deze overeenkomst verstrekte of uitgewisselde gerubriceerde gegevens, evenals de intellectuele-eigendomsrechten zoals octrooien, auteursrechten of fabrieksgeheimen, naar behoren worden beschermd.

7. Niemand heeft louter op grond van rang, aanstelling of veiligheidsmachtiging recht op toegang tot van de andere partij ontvangen gerubriceerde gegevens. Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan personen die wegens hun officiële functie die toegang moeten hebben en die, indien nodig, de vereiste persoonlijke veiligheidsmachtiging hebben ontvangen, overeenkomstig de voorgeschreven normen van de partijen.

8. De ontvangende partij zorgt ervoor dat alle personen die toegang hebben tot gerubriceerde gegevens op de hoogte zijn van hun verantwoordelijkheden om de gegevens te beschermen overeenkomstig de toepasselijke wet- en regelgeving.

Artikel 5

Persoonlijke veiligheidsmachtiging

1. De partijen dragen er zorg voor dat personen die bij het vervullen van hun officiële werkzaamheden toegang dienen te hebben tot in het kader van deze overeenkomst geleverde of uitgewisselde, als CONFIDENTIEL UE of CONFIDENTIAL of hoger gerubriceerde gegevens, of wier werkzaamheden of taken hen in staat stellen toegang daartoe te krijgen, naar behoren aan een veiligheidsonderzoek worden onderworpen voordat zij toegang krijgen tot dergelijke gegevens.

2. Het besluit van een partij om iemand een persoonlijke veiligheidsmachtiging te verlenen, moet verenigbaar zijn met de veiligheidsbelangen van die partij en moet gebaseerd zijn op alle beschikbare informatie waaruit de onbetwistbare loyaliteit, integriteit en betrouwbaarheid van de betrokkene blijkt.

3. De veiligheidsmachtigingen van elke partij moeten gebaseerd zijn op een passend en voldoende grondig onderzoek om de zekerheid te verstrekken dat aan de in lid 2 genoemde criteria is voldaan met betrekking tot elke persoon aan wie toegang tot gerubriceerde gegevens zal worden verleend. Voor de EU is de verantwoordelijke nationale veiligheidsinstantie (NVI) van de betrokkene de bevoegde autoriteit die verantwoordelijk is voor de noodzakelijke veiligheidsonderzoeken met betrekking tot zijn onderdanen.

Artikel 6

Overdracht van bewaring

De verstrekkende partij zorgt ervoor dat alle gerubriceerde gegevens naar behoren beschermd worden totdat de bewaring van de gegevens wordt overgedragen aan de ontvangende partij. De ontvangende partij zorgt ervoor dat alle gerubriceerde gegevens van de andere partij naar behoren beschermd worden zodra zij de aan haar verstrekte gegevens in bewaring heeft.

Artikel 7

Beveiliging van inrichtingen en gebouwen van de partijen waar gerubriceerde gegevens worden bewaard

Overeenkomstig de toepasselijke wet- en regelgeving zorgt elke partij voor de beveiliging van de inrichtingen en gebouwen waar gerubriceerde gegevens worden bewaard die haar door de andere partij zijn verstrekt, en zij zorgt er ten aanzien van elk van dergelijke inrichtingen en gebouwen voor dat alle nodige maatregelen worden genomen om de gegevens te bewaken en te beschermen.

Artikel 8

Vrijgave van gerubriceerde gegevens aan aannemers

1. Van de andere partij ontvangen gerubriceerde gegevens mogen, na voorafgaande schriftelijke toestemming van de verstrekkende partij, worden verstrekt aan een aannemer of potentiële aannemer. Voordat gerubriceerde gegevens worden vrijgegeven of bekendgemaakt aan een aannemer of potentiële aannemer, vergewist de ontvangende partij zich ervan dat die aannemer of potentiële aannemer, en zijn inrichting, de capaciteit hebben om de gegevens te beschermen, en een passende veiligheidsmachtiging hebben.

2. Dit artikel is niet van toepassing op personeel dat bij de Europese Unie op grond van een arbeidsovereenkomst of bij de Verenigde Staten op grond van een "personal services contract" (overeenkomst inzake persoonlijk dienstverlening) in dienst is.

Artikel 9

Verzending

1. Gerubriceerde gegevens worden tussen de partijen verzonden langs onderling overeengekomen kanalen.

In het kader van deze overeenkomst:

a) worden, wat de EU betreft, alle schriftelijke gerubriceerde gegevens gezonden aan het hoofd postregistratie van de Raad van de Europese Unie. Al dergelijke gegevens worden door het hoofd postregistratie van de Raad doorgestuurd aan de lidstaten en aan de Commissie, onverminderd lid 3;

b) worden, wat de Verenigde Staten-regering betreft, alle schriftelijke gerubriceerde gegevens, tenzij anders bepaald, verzonden via de missie van de Verenigde Staten van Amerika bij de Europese Unie, op het volgende adres:

Mission of the United States of America to the European Union

Registry Officer

Zinnerstraat 13

B-1000 Brussel

2. De elektronische transmissie van gerubriceerde gegevens tot het niveau CONFIDENTIAL/CONFIDENTIEL UE tussen de Verenigde Staten-regering en de EU en tussen de EU en de Verenigde Staten-regering wordt geëncrypteerd overeenkomstig de voorschriften van de verstrekkende partij zoals die in haar beveiligingsbeleid en -voorschriften zijn aangegeven. Bij de transmissie, de opslag en de verwerking van gerubriceerde gegevens in interne netwerken van de partijen wordt voldaan aan de voorschriften van de verstrekkende partij.

3. Bij wijze van uitzondering kunnen gerubriceerde gegevens van een partij waartoe slechts bepaalde daartoe bevoegde ambtenaren, organen of diensten van deze partij toegang hebben, om operationele redenen gericht worden aan en toegankelijk zijn voor uitsluitend bepaalde ambtenaren, organen of diensten van de andere partij, die daartoe uitdrukkelijk als ontvangers zijn aangewezen, gelet op hun bevoegdheden en volgens het need-to-know-beginsel. Wat de EU betreft, wordt de doorzending van deze gerubriceerde gegevens verzorgd door het hoofd postregistratie van de Raad, of door het hoofd postregistratie van het directoraat Beveiliging van de Commissie, wanneer de gegevens aan de Commissie zijn gericht.

Artikel 10

Bezoeken aan inrichtingen en gebouwen van de partijen

Op verzoek bevestigen de partijen persoonlijke veiligheidsmachtigingen langs onderling overeengekomen kanalen voor bezoeken van vertegenwoordigers van de ene partij aan inrichtingen en gebouwen van de andere partij.

Artikel 11

Wederzijdse beveiligingsbezoeken

De uitvoering van de beveiligingsvoorschriften van deze overeenkomst kan worden gecontroleerd door wederzijdse bezoeken van beveiligingspersoneel van de partijen met het oog op de beoordeling van de doeltreffendheid van de uit hoofde van deze overeenkomst genomen maatregelen en van de overeenkomstig artikel 13 op te stellen technische beveiligingsregeling ter bescherming van de tussen de partijen verstrekte of uitgewisselde gerubriceerde gegevens. Dienovereenkomstig kan aan beveiligingsvertegenwoordigers van elke partij, na voorafgaand overleg, worden toegestaan de andere partij te bezoeken en de uitvoeringsprocedures van de andere partij te bespreken en te observeren. De gastpartij staat de bezoekende beveiligingsvertegenwoordigers bij bij het bepalen of de van de bezoekende partij ontvangen gerubriceerde gegevens naar behoren wordt beschermd.

Artikel 12

Toezicht

1. Voor de Verenigde Staten-regering houden de ministers van Buitenlandse Zaken en van Defensie en de directeur van de National Intelligence toezicht op de uitvoering van deze overeenkomst.

2. Voor de EU houden de secretaris-generaal van de Raad en het voor beveiligingsvraagstukken bevoegde lid van de Commissie toezicht op de uitvoering van deze overeenkomst.

Artikel 13

Technische beveiligingsregeling

1. Ter uitvoering van deze overeenkomst worden door de in de leden 2, 3 en 4 genoemde drie instanties een technische beveiligingsregeling ingesteld om de normen vast te stellen voor de wederzijdse beveiliging van gerubriceerde gegevens die in het kader van deze overeenkomst tussen de partijen worden verstrekt of uitgewisseld.

2. Het ministerie van Buitenlandse Zaken van de Verenigde Staten, dat optreedt namens en onder het gezag van de Verenigde Staten-regering, wordt belast met de ontwikkeling van de in lid 1 bedoelde technische beveiligingsregeling voor de bescherming van gerubriceerde gegevens die in het kader van deze overeenkomst aan de Verenigde Staten-regering worden verstrekt of met haar worden uitgewisseld.

3. Het Bureau beveiliging van het secretariaat-generaal van de Raad dat onder leiding staat en handelt in naam van de secretaris-generaal van de Raad en dat optreedt namens en onder het gezag van de Raad, wordt belast met de ontwikkeling van de in lid 1 bedoelde technische beveiligingsregeling voor de bescherming en beveiliging van gerubriceerde gegevens die in het kader van deze overeenkomst aan de Raad of het secretariaat-generaal van de Raad worden verstrekt of daarmee worden uitgewisseld.

4. Het directoraat Beveiliging van de Commissie, dat optreedt onder het gezag van het voor beveiligingsvraagstukken bevoegde lid van de Commissie, wordt belast met de ontwikkeling van de in lid 1 bedoelde technische beveiligingsregeling voor de bescherming van gerubriceerde gegevens die in het kader van deze overeenkomst aan de Commissie worden verstrekt of met haar worden uitgewisseld.

5. Wat de EU betreft, is de regeling onderworpen aan goedkeuring door het Beveiligingscomité van de Raad.

Artikel 14

Lagere rubricering en derubricering

1. De partijen komen overeen dat gerubriceerde gegevens lager gerubriceerd zullen worden zodra de gegevens niet langer de hogere mate van bescherming behoeven, en dat zij gederubriceerd zullen worden zodra de gegevens niet langer bescherming tegen openbaarmaking zonder machtiging behoeven.

2. De verstrekkende partij beslist in volstrekte vrijheid over de lagere rubricering of derubricering van zijn eigen gerubriceerde gegevens. De ontvangende partij verleent de van de andere partij ontvangen gerubriceerde gegevens geen lagere rubricering en derubriceert die gegevens niet, ongeacht eventuele klaarblijkelijke derubriceringsinstructies op het document, zonder de voorafgaande schriftelijke toestemming van de verstrekkende partij.

Artikel 15

Verlies of aantasting van het vertrouwelijke karakter

De verstrekkende partij wordt bij ontdekking van bewijzen of vermoedens van verlies of aantasting van het vertrouwelijke karakter van haar gerubriceerde gegevens daarvan in kennis gesteld, en de ontvangende partij stelt een onderzoek in om de omstandigheden vast te stellen. De resultaten van het onderzoek en informatie betreffende de genomen maatregelen om herhaling te voorkomen, worden ter kennis van de verstrekkende partij gebracht. De in artikel 13 genoemde autoriteiten kunnen hiervoor procedures vaststellen.

Artikel 16

Regeling van geschillen

Alle geschillen tussen de partijen die zich in het kader van of in verband met deze overeenkomst voordoen, worden uitsluitend via overleg tussen de partijen opgelost.

Artikel 17

Kosten

Elke partij neemt de kosten die zij ter uitvoering van deze overeenkomst heeft gemaakt, voor haar rekening.

Artikel 18

Vermogen om te beschermen

Voordat de partijen elkaar gerubriceerde gegevens verstrekken of deze uitwisselen, moeten de in artikel 12 genoemde verantwoordelijke beveiligingsautoriteiten overeenkomen dat de ontvangende partij in staat is de in deze overeenkomst bedoelde gegevens conform de in artikel 13 bedoelde technische beveiligingsregeling te beschermen en te beveiligen.

Artikel 19

Andere overeenkomsten

Niets in deze overeenkomst doet afbreuk aan bestaande overeenkomsten of regelingen tussen de partijen noch aan overeenkomsten tussen de Verenigde Staten-regering en lidstaten van de Europese Unie. Deze overeenkomst belet de partijen niet andere overeenkomsten betreffende de verstrekking of uitwisseling van gerubriceerde gegevens als bedoeld in deze overeenkomst te sluiten, mits deze niet onverenigbaar zijn met de verplichtingen krachtens deze overeenkomst.

Artikel 20

Inwerkingtreding, wijziging en opzegging

1. Deze overeenkomst treedt in werking op de datum waarop de laatste partij haar ondertekent.

2. Elke partij stelt de andere partij in kennis van eventuele wijzigingen in haar wet- en regelgeving die gevolgen zouden kunnen hebben voor de bescherming van de in deze overeenkomst bedoelde gerubriceerde gegevens. In die gevallen treden de partijen in overleg om overeenkomstig lid 3 de nodige wijzigingen in deze overeenkomst aan te brengen.

3. Wijzigingen in deze overeenkomst worden via schriftelijke onderlinge overeenstemming tussen de partijen aangebracht.

4. Elke partij kan deze overeenkomst opzeggen door de andere partij negentig dagen van te voren schriftelijk in kennis te stellen van haar voornemen de overeenkomst op te zeggen. Ondanks de opzegging van deze overeenkomst blijven alle volgens deze overeenkomst verstrekte gegevens onderworpen aan bescherming volgens het bepaalde in deze overeenkomst. De partijen plegen onmiddellijk overleg over hetgeen met die gerubriceerde gegevens moet gebeuren.

TEN BLIJKE WAARVAN de ondergetekenden, daartoe naar behoren gemachtigd door hun respectieve autoriteiten, deze overeenkomst hebben ondertekend.

Gedaan te Washington, de dertigste april 2007, in twee exemplaren, beide in de Engelse taal.

Voor de Europese Unie

+++++ TIFF +++++

Voor de Regering van de Verenigde Staten van Amerika

+++++ TIFF +++++

--------------------------------------------------