15.12.2017

NL

Publicatieblad van de Europese Unie

L 333/2

---

VERTALING

OVEREENKOMST

tussen Canada en de Europese Unie inzake beveiligingsprocedures voor de uitwisseling en bescherming van gerubriceerde gegevens

CANADA

en

de EUROPESE UNIE (de „EU”),

hierna „de partijen” genoemd,

OVERWEGENDE dat de partijen zich beide ten doel stellen alle aspecten van hun veiligheid te versterken;

OVERWEGENDE dat de partijen het erover eens zijn dat zij moeten worden aangemoedigd om overleg te plegen over en samen te werken in aangelegenheden van gemeenschappelijk belang;

OVERWEGENDE dat de partijen daartoe gegevens die zij een beveiligingsrubricering hebben gegeven, moeten uitwisselen;

ERKENNEND dat de partijen maatregelen moeten nemen om dergelijke gegevens, wanneer zij worden uitgewisseld, te beschermen;

ZIJN OVEREENGEKOMEN HETGEEN VOLGT:

Artikel 1

Definities

Voor de toepassing van deze overeenkomst geldt het onderstaande:

a)

„gerubriceerde gegevens” gegevens die van een partij een beveiligingsrubricering hebben gekregen en als zodanig zijn gemarkeerd, en die, indien zij aan onbevoegde derden worden meegedeeld, de belangen van die partij in meerdere of mindere mate zouden kunnen schaden of aantasten. De gegevens kunnen in mondelinge, visuele, elektronische, magnetische of documentvorm zijn, dan wel in de vorm van materiaal, uitrusting of technologie, en omvatten reproducties, vertalingen en materiaal in de ontwikkelingsfase;

b)

„beschermde gegevens” alle gegevens die Canada als zodanig heeft aangewezen door middel van een passende markering en die, indien zij aan onbevoegde derden worden meegedeeld, een Canadees onderdaan of entiteit, of het Canadees algemeen belang zouden kunnen schaden. De gegevens kunnen in mondelinge, visuele, elektronische, magnetische of documentvorm zijn, dan wel in de vorm van materiaal, uitrusting of technologie, en omvatten reproducties, vertalingen en materiaal in de ontwikkelingsfase;

c)	„aannemer”: een natuurlijke persoon of rechtspersoon die handelingsbekwaam is om overeenkomsten te sluiten; hiermee kan ook een onderaannemer worden bedoeld, maar niet iemand die door Canada of de EU is aangenomen met een arbeidsovereenkomst;

d)	„noodzaak van kennisneming”: de toegang tot gerubriceerde gegevens is beperkt tot gemachtigde personen die voor de uitoefening van hun officiële taken toegang tot die gerubriceerde gegevens moeten hebben;

e)	„federale regering”: de federale ministeries van Canada en alle afdelingen en takken van de federale overheid van Canada;

f)	„derde partij”: elke andere persoon of entiteit dan de partijen.

Artikel 2

Toepassingsgebied

1.   Deze overeenkomst is van toepassing op gerubriceerde gegevens die door de ene partij aan de andere partij worden verstrekt of die tussen de partijen worden uitgewisseld.

2.   Deze overeenkomst bevat tevens bepalingen betreffende de bescherming van Canadese beschermde gegevens die aan de EU worden verstrekt. Tenzij anders bepaald worden alle verwijzingen in deze overeenkomst naar gerubriceerde gegevens geacht ook betrekking te hebben op Canadese beschermde gegevens.

3.   De ontvangende partij beschermt de haar door de andere partij verstrekte gerubriceerde gegevens tegen verlies, compromittering of openbaarmaking zonder toestemming, in overeenstemming met deze overeenkomst. Elke partij neemt overeenkomstig haar wet- en regelgeving, maatregelen om haar verplichtingen uit hoofde van deze overeenkomst uit te voeren.

4.   De ontvangende partij gebruikt deze gerubriceerde gegevens uitsluitend voor de doeleinden die door de verstrekkende partij zijn vastgesteld of waarvoor de gerubriceerde gegevens zijn verstrekt of uitgewisseld.

5.   Deze overeenkomst vormt geen grondslag om de partijen tot vrijgave van gerubriceerde gegevens te verplichten.

Artikel 3

Toepassing

1.   Deze overeenkomst is van toepassing op de volgende instellingen en entiteiten van de EU: de Europese Raad, de Raad van de Europese Unie („de Raad”), het secretariaat-generaal van de Raad, de Europese Commissie, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid en de Europese Dienst voor extern optreden („de EDEO”).

2.   Voor Canada is deze overeenkomst van toepassing op de federale regering.

Artikel 4

Gerubriceerde gegevens en beschermde gegevens

1.   Gerubriceerde gegevens die door een partij aan de andere partij worden verstrekt, zijn voorzien van een passende rubricering in overeenstemming met lid 2. Canadese beschermde informatie die aan de EU wordt verstrekt, is voorzien van een passende markering in overeenstemming met lid 4.

2.   Elke partij zorgt ervoor dat van de andere partij ontvangen gerubriceerde gegevens het beschermingsniveau van de overeenkomstige beveiligingsrubricering krijgen, volgens onderstaande tabel:

EU	CANADA
TRÈS SECRET UE/EU TOP SECRET	TOP SECRET of TRÈS SECRET
SECRET UE/EU SECRET	SECRET
CONFIDENTIEL UE/EU CONFIDENTIAL	CONFIDENTIAL of CONFIDENTIEL
RESTREINT UE/EU RESTRICTED	Geen Canadees equivalent.

3.   Canada biedt voor als RESTREINT UE/EU RESTRICTED gerubriceerde gegevens een beschermingsniveau dat ten minste gelijkwaardig is aan het niveau dat de EU daarvoor biedt.

4.   Canadese gegevens die als PROTECTED A of PROTÉGÉ A zijn gerubriceerd, worden door de EU verwerkt en opgeslagen op dezelfde wijze als EU-gegevens die als RESTREINT UE/EU RESTRICTED zijn gerubriceerd. Canadese gegevens die als PROTECTED B of PROTÉGÉ B dan wel als PROTECTED C of PROTÉGÉ C zijn gerubriceerd, worden door de EU verwerkt en opgeslagen overeenkomstig de administratieve uitvoeringsregeling als bedoeld in artikel 11.

5.   De verstrekkende partij kan gerubriceerde gegevens tevens markeren om beperkingen inzake gebruik, openbaarmaking, doorzending of toegang nader te omschrijven en aanvullende beveiligingsvoorschrifen voor de bescherming ervan door de ontvangende partij te verduidelijken, onder meer ten aanzien van instellingen of entiteiten van de ontvangende partij. Canada kan beschermde gegevens tevens markeren om beperkingen inzake gebruik, openbaarmaking, doorzending of toegang nader te omschrijven en aanvullende beveiligingsvoorschrifen voor de bescherming ervan door de EU te verduidelijken, onder meer ten aanzien van elke niet in artikel 3, lid 1, genoemde instelling of entiteit.

Artikel 5

Bescherming van gerubriceerde gegevens

1.   De ontvangende partij zorgt ervoor dat van de verstrekkende partij ontvangen gerubriceerde gegevens:

a)	voorzien blijven van de markering die de verstrekkende partij daaraan overeenkomstig artikel 4, heeft toegekend;

b)	niet zonder voorafgaande schriftelijke toestemming van de verstrekkende partij lager worden gerubriceerd of worden gederubriceerd;

c)	onverminderd lid 2, niet zonder voorafgaande schriftelijke toestemming van de verstrekkende partij worden openbaar gemaakt of meegedeeld aan derden of aan een niet in artikel 3 vermelde instelling of entiteit van de partijen;

d)	worden verwerkt met inachtneming van de beperkingen waarmee de verstrekkende partij overeenkomstig artikel 4, lid 5, de gerubriceerde gegevens heeft gemarkeerd;

e)	worden gewaarborgd overeenkomstig deze overeenkomst en de in artikel 11 bedoelde administratieve uitvoeringsregeling.

2.   De ontvangende partij stelt de verstrekkende partij in kennis van verzoeken van een gerechtelijke of wetgevende autoriteit die optreedt in een onderzoekende hoedanigheid tot verkrijging van gerubriceerde gegevens die uit hoofde van deze overeenkomst van de verstrekkende partij zijn ontvangen. Bij de beoordeling van een dergelijk verzoek houdt de ontvangende partij zo veel mogelijk rekening met het standpunt van de verstrekkende partij. Indien dat verzoek, gezien de wet- en regelgeving van de ontvangende partij, inhoudt dat de bedoelde gerubriceerde gegevens worden doorgezonden aan de verzoekende gerechtelijke of wetgevende autoriteit, doet de ontvangende partij al het mogelijke om ervoor te zorgen dat de gegevens afdoende worden beschermd, ook tegen mogelijke latere openbaarmaking.

Artikel 6

Personeelsgerelateerde beveiliging

1.   De partijen zorgen ervoor dat gerubriceerde gegevens die uit hoofde van deze overeenkomst worden verstrekt of uitgewisseld, alleen toegankelijk zijn op basis van de kennisnemingsbehoefte.

2.   De partijen zorgen ervoor dat iemand die toegang krijgt tot uit hoofde van deze overeenkomst verstrekte of uitgewisselde gerubriceerde gegevens, wordt geïnstrueerd over de beveiligingsvoorschriften en -procedures voor de bescherming van die gerubriceerde gegevens en dat hij zijn verantwoordelijkheid in verband met de bescherming van die gerubriceerde gegevens heeft bevestigd.

3.   De partijen zorgen ervoor dat gerubriceerde gegevens die uit hoofde van deze overeenkomst worden verstrekt of uitgewisseld, alleen toegankelijk zijn voor personen:

a)	die op basis van hun taken gemachtigd zijn om toegang te hebben tot die gerubriceerde gegevens, en

b)	die over de vereiste personeelsveiligheidsmachtiging beschikken of specifiek bevoegd of gemachtigd zijn overeenkomstig de respectieve wet- en regelgeving van de partijen.

Artikel 7

Beveiliging van de locatie

De ontvangende partij zorgt ervoor dat de door de andere partij verstrekte gerubriceerde gegevens worden bewaard op een locatie die beveiligd is en wordt gecontroleerd en beschermd.

Artikel 8

Vrijgave of openbaarmaking van gerubriceerde gegevens aan aannemers

1.   Iedere partij mag een aannemer of potentiële aannemer gerubriceerde gegevens verstrekken indien de verstrekkende partij daarvoor vooraf schriftelijke toestemming heeft gegeven. Alvorens gerubriceerde gegevens aan een aannemer of potentiële aannemer mee te delen vergewist de ontvangende partij zich ervan dat de aannemer of potentiële aannemer zijn bedrijf heeft beveiligd en de gerubriceerde gegevens kan beschermen overeenkomstig artikel 7, en dat de aannemer of potentiële aannemer over de vereiste veiligheidsmachtiging voor het bedrijf beschikt voor zichzelf en over de passende veiligheidsmachtigingen voor zijn personeelsleden die toegang moeten hebben tot gerubriceerde gegevens.

2.   Voor het verstrekken van als RESTREINT UE/EU RESTRICTED gerubriceerde gegevens of Canadese als PROTECTED A of PROTÉGÉ A gerubriceerde gegevens aan een aannemer of potentiële aannemer dient geen veiligheidsmachtiging voor het bedrijf te worden verleend.

3.   De EU verstrekt geen Canadese als PROTECTED B of PROTÉGÉ B dan wel als PROTECTED C of PROTÉGÉ C gerubriceerde gegevens aan een aannemer of potentiële aannemer, ook niet over maatregelen ter bescherming van die gegevens, tenzij in specifieke gevallen waarin Canada hiermee vooraf schriftelijk heeft ingestemd,

Artikel 9

Doorzending van gerubriceerde gegevens

1.   Voor de toepassing van deze overeenkomst geldt het onderstaande:

a)	Canada stuurt gerubriceerde gegevens in elektronische of magnetische vorm of op papier naar het centraal register van de Raad, dat de gegevens doorstuurt aan de EU-lidstaten en de in artikel 3, lid 1, genoemde instellingen of entiteiten van de EU;

b)	de EU richt gerubriceerde gegevens in elektronische of magnetische vorm of op papier aan het registratiebureau van het betrokken agentschap of ministerie van de Canadese regering, via de missie van de regering van Canada bij de Europese Unie in Brussel.

2.   Een partij kan gerubriceerde gegevens sturen en verlangen dat die uitsluitend toegankelijk zijn voor specifiek bevoegde functionarissen, organen of diensten van de in artikel 3 bedoelde instellingen of entiteiten. Wanneer de partij deze gerubriceerde gegevens zendt, wijst zij de specifiek bevoegde functionarissen, organen of diensten van de in artikel 3 bedoelde instellingen of entiteiten aan als enige ontvangers. In dat geval is het volgende van toepassing op de doorzending van gerubriceerde gegevens:

a)	Canada stuurt gerubriceerde gegevens via het centraal register van de Raad, van de Europese Commissie of van de EDEO, al naar gelang;

b)	de EU richt gerubriceerde gegevens aan het registratiebureau van de betrokken entiteit, het betrokken agentschap of ministerie van de Canadese regering, via de missie van de regering van Canada bij de Europese Unie in Brussel.

Artikel 10

Toezicht

De partijen besluiten dat onderstaande entiteiten toezien op de uitvoering van deze overeenkomst:

a)	voor Canada, de door de regering van Canada aangewezen entiteit waarvan de naam langs diplomatieke kanalen aan de EU wordt doorgezonden;

b)	voor de EU, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, het voor beveiligingsvraagstukken bevoegde lid van de Europese Commissie en de secretaris-generaal van de Raad.

Artikel 11

Administratieve uitvoeringsregeling

1.   Ter uitvoering van deze overeenkomst zorgen de partijen ervoor dat hun bevoegde autoriteiten een administratieve uitvoeringsregeling aangaan waarin de voorschriften worden vastgelegd voor onder meer:

a)	veiligheidsmachtigingen

b)	procedures voor het verstrekken of uitwisselen van gerubriceerde gegevens;

c)	informatie over opslagbeveiliging;

d)	procedures voor het geval dat gerubriceerde gegevens zoek zijn geraakt, gecompromitteerd zijn of zonder toestemming openbaar zijn gemaakt, alsmede

e)	procedures voor het beschermen van gerubriceerde gegevens in elektronische vorm;

2.   De partijen voeren overleg over beveiligingsaangelegenheden en leggen wederzijdse beoordelingsbezoeken af teneinde de doeltreffendheid na te gaan van de beveiligingsmaatregelen die iedere partij toepast op de gerubriceerde gegevens die door de andere partij uit hoofde van deze overeenkomst en de in lid 1 bedoelde administratieve uitvoeringsregeling worden verstrekt. De partijen besluiten gezamenlijk hoe vaak en wanneer dit overleg en deze beoordelingsbezoeken plaatsvinden.

3.   Alvorens gerubriceerde gegevens aan de andere partij te verstrekken, bevestigt de verstrekkende partij schriftelijk dat de ontvangende partij in staat is de gerubriceerde gegevens te beschermen op een wijze die strookt met deze overeenkomst en de in lid 1 bedoelde administratieve uitvoeringsregeling.

Artikel 12

Gerubriceerde informatie die zoek is geraakt, gecompromitteerd is of zonder toestemming openbaar is gemaakt

1.   Wanneer de ontvangende partij ontdekt dat uit hoofde van deze overeenkomst ontvangen gerubriceerde gegevens wellicht zoek zijn geraakt, gecompromitteerd zijn of zonder toestemming openbaar zijn gemaakt, laat zij dat onmiddellijk aan de verstrekkende partij weten en start zij een onderzoek om te achterhalen hoe die gegevens zoek zijn geraakt, gecompromitteerd zijn of zonder toestemming openbaar zijn gemaakt. Voorts deelt de ontvangende partij de verstrekkende partij de resultaten van het onderzoek mee zijn en verstrekt zij informatie over de maatregelen die zijn getroffen om herhaling te voorkomen.

2.   De bescherming door de EU uit hoofde van deze overeenkomst van Canadese beschermde gegevens verplicht geen enkele EU-lidstaat om de compromittering van dergelijke gegevens volgens zijn strafrecht als een strafbaar feit aan te merken.

Artikel 13

Kosten

Elke partij draagt de kosten die zij voor de uitvoering van deze overeenkomst maakt.

Artikel 14

Andere overeenkomsten

Deze overeenkomst laat bestaande overeenkomsten of regelingen tussen de partijen alsmede overeenkomsten of regelingen tussen Canada en lidstaten van de EU, ongewijzigd. Zij laat de inhoud van toekomstige overeenkomsten of regelingen tussen Canada en lidstaten van de EU geheel onverlet. Deze overeenkomst belet de partijen niet andere overeenkomsten te sluiten of regelingen aan te gaan met betrekking tot het verstrekken of uitwisselen van gerubriceerde gegevens.

Artikel 15

Beslechting van geschillen

De partijen lossen onenigheden die voortvloeien uit de interpretatie of toepassing van deze overeenkomst, in onderling overleg op.

Artikel 16

Inwerkingtreding, wijziging en beëindiging

1.   Deze overeenkomst treedt in werking op de eerste dag van de eerste maand na die waarin de partijen elkaar hebben kennisgegeven van de voltooiing van de daartoe vereiste interne procedures.

2.   Elke partij stelt de andere partij in kennis van eventuele wijzigingen in haar wet- en regelgeving die gevolgen kunnen hebben voor de bescherming van de uit hoofde van deze overeenkomst verstrekte of uitgewisselde gerubriceerde gegevens.

3.   Elke partij kan op ieder moment verzoeken deze overeenkomst te herzien, ter overweging van mogelijke wijzigingen.

4.   Deze overeenkomst kan met wederzijdse instemming worden gewijzigd. De partij die een bepaling van deze overeenkomst wenst te wijzigen laat dat de andere partij schriftelijk weten. Een wijziging treedt in werking overeenkomstig de in lid 1 bedoelde procedure.

5.   Een partij kan deze overeenkomst opzeggen door middel van een schriftelijke kennisgeving aan de andere partij. Deze overeenkomst verstrijkt dan drie maanden nadat de andere partij de kennisgeving heeft ontvangen. Beide partijen blijven gerubriceerde gegevens die vóór het verstrijken van deze overeenkomst zijn verstrekt, beschermen op de in deze overeenkomst beschreven wijze.

TEN BLIJKE WAARVAN de ondergetekenden, daartoe naar behoren gemachtigd, hun handtekening onder deze overeenkomst hebben gesteld.

---