31999F0130(03)

BESLUIT VAN DE RAAD van 3 november 1998 houdende vaststelling van de regeling ter bescherming van geheime Europol-informatie (1999/C 26/02)

DE RAAD VAN DE EUROPESE UNIE,

Gelet op de overeenkomst op grond van artikel K.3 van het Verdrag van de Europese Unie tot oprichting van een Europese politiedienst (Europol-overeenkomst) (1), inzonderheid op artikel 31, lid 1,

Gezien de door de raad van bestuur voorgelegde ontwerp-regeling,

Overwegende dat de Raad met eenparigheid van stemmen een passende regeling dient vast te stellen ter bescherming van informatie waarvoor geheimhouding nodig is en die op grond van de Europol-overeenkomst ingewonnen of met Europol uitgewisseld is,

BESLUIT:

HOOFDSTUK I

DEFINITIES EN WERKINGSSFEER

Artikel 1 Definities

Voor deze regeling gelden de volgende definities:

a) "informatieverwerking" ("verwerking"): elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of niet-persoonsgebonden gegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

b) "derde partij": een derde land of een instantie zoals bedoeld in artikel 10, lid 4, van de Europol-overeenkomst;

c) "Europol-beveiligingscomité": het in artikel 3 omschreven comité, bestaande uit vertegenwoordigers van de lidstaten en van Europol;

d) "Europol-beveiligingscoördinator": de adjunct-directeur die, naast zijn andere taken, door de directeur van Europol overeenkomstig artikel 29, lid 2, van de Europol-overeenkomst met de coördinatie en de controle van de beveiliging is belast;

e) "Europol beveiligingsofficier": de Europol-functionaris die door de directeur van Europol is benoemd en verantwoordelijk is voor beveiligingskwesties, overeenkomstig artikel 5;

f) "beveiligingshandboek": het handboek waarmee deze regeling ten uitvoer wordt gelegd en dat overeenkomstig artikel 6 moet worden opgesteld;

g) "beveiligingsniveau": het beveiligingsniveau Europol 1, 2 of 3 dat aan een door of via Europol verwerkt document wordt toegekend, zoals bedoeld in artikel 8;

h) "beveiligingspakket": een bepaalde combinatie van beveiligingsmaatregelen die van toepassing is op informatie waarvoor een bepaald Europol-beveiligingsniveau geldt, zoals bedoeld in artikel 8;

i) "basisbeschermingsniveau": het beschermingsniveau dat geldt voor alle door of via Europol verwerkte informatie, uitgezonderd voor informatie die duidelijk herkenbaar of uitdrukkelijk gemarkeerd is als publieke informatie, zoals bedoeld in artikel 8, lid 1.

Artikel 2 Werkingssfeer

1. In deze regeling worden de beveiligingsmaatregelen vastgesteld die worden toegepast op alle informatie die door of via Europol binnen zijn organisatie wordt verwerkt.

2. De lidstaten verbinden zich ertoe te waarborgen dat dergelijke informatie op hun grondgebied een niveau van bescherming krijgt dat gelijkwaardig is aan het niveau dat geboden wordt door deze maatregelen.

3. Elektronische verbindingen tussen Europol en de nationale eenheden van de lidstaten bieden een niveau van bescherming dat gelijkwaardig is aan het niveau dat geboden wordt door deze maatregelen. Het beveiligingscomité hecht na raadpleging van de bevoegde autoriteiten van de lidstaten met eenparigheid van stemmen zijn goedkeuring aan een gemeenschappelijke norm voor deze elektronische verbindingen.

4. De bijlage bij deze regeling bevat een overzicht van de in artikel 8 genoemde Europol-beveiligingsniveaus en de overeenkomstige aanduidingen die in de lidstaten gebruikt worden voor informatie waarop de beveiligingsniveaus van toepassing zijn. Wanneer een lidstaat de overige lidstaten en Europol in kennis stelt van een wijziging van de nationale bepalingen inzake beveiligingsniveaus of de overeenkomstige aanduidingen, stelt Europol een herziene versie van bovengenoemd overzicht op. Ten minste eenmaal per jaar gaat het Europol-beveiligingscomité na of het overzicht nog actueel is.

HOOFDSTUK II

BEVEILIGINGSTAKEN

Artikel 3 Europol-beveiligingscomité

1. Er wordt een Europol-beveiligingscomité opgericht, bestaande uit vertegenwoordigers van de lidstaten en van Europol, dat ten minste eenmaal per jaar vergadert.

2. Het Europol-beveiligingscomité heeft tot taak de raad van bestuur en de directeur van Europol advies te geven over aangelegenheden die verband houden met het beveiligingsbeleid, met inbegrip van de toepassing van het beveiligingshandboek.

3. Het Europol-beveiligingscomité stelt zijn reglement van orde vast. De vergaderingen van het Europol-beveiligingscomité worden voorgezeten door de beveiligingscoördinator.

Artikel 4 Beveiligingscoördinator

1. De beveiligingscoördinator is in het algemeen verantwoordelijk voor alle aangelegenheden die betrekking hebben op de beveiliging, met inbegrip van de beveiligingsmaatregelen die in deze regeling en in het beveiligingshandboek staan. Hij controleert de toepassing van de beveiligingsvoorschriften en brengt alle inbreuken op de beveiligingsvoorschriften ter kennis van de directeur, die in geval van ernstige inbreuk de raad van bestuur op de hoogte brengt. Indien de inbreuk de belangen van een lidstaat dreigt te schaden, wordt ook deze lidstaat ervan in kennis gesteld.

2. De beveiligingscoördinator is rechtstreeks verantwoording verschuldigd aan de directeur van Europol.

Artikel 5 Beveiligingsofficier

1. De beveiligingsofficier van Europol, die rechtstreeks verantwoording verschuldigd is aan de beveiligingscoördinator, is verantwoordelijk voor de praktische uitvoering van de in deze regeling en in het beveiligingshandboek omschreven beveiligingsmaatregelen. De beveiligingsofficier heeft de volgende specifieke taken:

a) hij leidt de beveiligingseenheid van Europol;

b) hij instrueert, helpt en adviseert het personeel van Europol en de verbindingsofficieren bij de taken die zij uit hoofde van deze regeling en het beveiligingshandboek hebben;

c) hij ziet toe op naleving van de beveiligingsvoorschriften, onderzoekt inbreuken op deze voorschriften en brengt daarover zo spoedig mogelijk verslag uit aan de beveiligingscoördinator;

d) hij toetst constant het adequaat-zijn van de beveiligingsmaatregelen op basis van dreigingsevaluaties; te dien einde brengt hij in de regel ten minste eenmaal per maand, en in uitzonderlijke gevallen zo vaak als nodig wordt geacht, verslag uit bij de beveiligingscoördinator, en formuleert hij opmerkingen en voorstellen;

e) hij voert taken uit die hij krachtens deze regeling of het beveiligingshandboek heeft;

f) hij voert andere taken uit die de beveiligingscoördinator hem opdraagt.

2. De beveiligingsofficier moet gemachtigd zijn op het hoogste veiligheidsniveau volgens de regelgeving van de lidstaat waarvan hij onderdaan is.

Artikel 6 Beveiligingshandboek; procedure en inhoud

1. Het beveiligingshandboek wordt aangenomen door de raad van bestuur na overleg met het beveiligingscomité.

2. Het beveiligingshandboek omvat:

a) gedetailleerde voorschriften over de binnen Europol toe te passen beveiligingsmaatregelen die voorzien in een basisbeschermingsniveau als bedoeld in artikel 8, lid 1, van deze regeling, gebaseerd op artikel 25 en artikel 32, lid 2, van de Europol-overeenkomst, en rekening houdend met artikel 31, lid 3, van de Europol-overeenkomst;

b) gedetailleerde voorschriften over de beveiligingsmaatregelen die overeenstemmen met de verschillende Europol-beveiligingsniveaus en de daarmee corresponderende beveiligingspakketten, als bedoeld in artikel 8, lid 2 en lid 3.

3. Wijzigingen van het beveiligingshandboek worden eveneens aangenomen overeenkomstig de in lid 1 omschreven procedure.

4. Voor het Europol-computersysteem en alle andere computersystemen die bij Europol worden gebruikt voor de verwerking van als te beschermen gemarkeerde informatie wordt een systeemeigen beveiligingsvoorschrift aangenomen en gewijzigd volgens de procedure van lid 1. Dit systeemeigen beveiligingsvoorschrift moet verenigbaar zijn met de relevante bepalingen van het beveiligingshandboek.

Artikel 7 Naleving

Alle personeelsleden en verbindingsofficieren van Europol, evenals iedere andere persoon voor wie een bijzondere zwijg- of geheimhoudingsplicht geldt, zijn gehouden de beveiligingsmaatregelen van deze regeling en van het beveiligingshandboek na te leven.

HOOFDSTUK III

ALGEMENE BEGINSELEN

Artikel 8 Basisbeschermingsniveau, beveiligingsniveau en beveiligingspakketten

1. Voor alle informatie die door of via Europol wordt verwerkt, behalve voor informatie die duidelijk herkenbaar of uitdrukkelijk gemarkeerd is als publieke informatie, geldt een basisbeschermingsniveau binnen Europol en in de lidstaten. Voor informatie waarvoor alleen het basisbeschermingsniveau geldt, is geen specifieke markering van een Europol-beveiligingsniveau nodig, maar deze moet wel als Europol-informatie worden aangemerkt.

2. Overeenkomstig artikel 2, lid 2, waarborgen de lidstaten de toepassing van het in lid 1 bedoelde basisbeschermingsniveau door middel van diverse maatregelen van uiteenlopende aard, overeenkomstig de nationale wet- en regelgeving, daaronder begrepen de zwijg- en geheimhoudingsplicht, het beperken van de toegang tot de informatie tot gemachtigde personeelsleden, vereisten inzake de bescherming van persoonsgegevens en algemene technische en proceduremaatregelen om de beveiliging van de informatie te waarborgen, zulks rekening houdend met artikel 25, lid 2, van de Europol-overeenkomst.

3. Aan informatie die extra beveiligingsmaatregelen vereist, wordt een Europol-beveiligingsniveau toegekend. Deze informatie wordt dienovereenkomstig gemarkeerd. Een beveiligingsniveau wordt alleen toegekend indien zulks absoluut noodzakelijk is en alleen voor zolang als nodig is.

4. De Europol-beveiligingsniveaus worden genummerd "Europol 1", "Europol 2" en "Europol 3".

>RUIMTE VOOR DE TABEL>

Aan elk Europol-beveiligingsniveau is een specifiek beveiligingspakket verbonden dat binnen Europol wordt toegepast. De beveiligingspakketten bieden verschillende beschermingsniveaus, afhankelijk van de inhoud van de informatie en gelet op de ernst van de gevolgen die ongeoorloofde toegang tot, verspreiding of gebruik van de informatie voor de belangen van de lidstaten of van Europol zou kunnen hebben. De Europol-niveaus 1, 2 en 3 stemmen - wat de toe te passen beveiligingsmaatregelen betreft - zoveel mogelijk overeen met bestaande internationale normen.

Wanneer met verschillende beschermingsniveaus gemarkeerde gegevens worden verzameld, wordt ten minste het beveiligingsniveau van de gegevens met het hoogste beschermingsniveau toegepast. Aan een dergelijke verzameling van gegevens kan hoe dan ook een hoger beschermingsniveau worden toegekend dan dat van de afzonderlijke gegevens.

Voor de vertaling van als te beschermen gemarkeerde documenten geldt dezelfde bescherming als voor de originele documenten.

5. De beveiligingspakketten omvatten verscheidene maatregelen van technische, organisatorische of administratieve aard, zoals omschreven in het beveiligingshandboek. De maatregelen betreffen onder meer het geoorloofd gebruik van de gegevens, overeenkomstig artikel 17 van de Europol-overeenkomst, variërend van onbeperkt gebruik tot geen gebruik zonder toestemming van de verstrekker.

Artikel 9 Keuze van het beveiligingsniveau

1. De lidstaat die aan Europol informatie verstrekt, is verantwoordelijk voor het bepalen van het juiste beveiligingsniveau voor degelijke informatie, in overeenstemming met artikel 8. Indien nodig duidt de lidstaat bij het verstrekken van informatie het Europol-beveiligingsniveau overeenkomstig artikel 8, lid 4, aan.

2. Bij het bepalen van het beveiligingsniveau houden de lidstaten rekening met de wijze waarop de informatie volgens hun nationale regelgeving wordt gerubriceerd, alsmede met de voor een adequaat functioneren van Europol vereiste operationele flexibiliteit.

3. Indien Europol - op basis van informatie waarover Europol reeds beschikt - concludeert dat de keuze van het beveiligingsniveau moet worden gewijzigd (zoals de mogelijke opheffing of toevoeging van een niveau, dan wel het toevoegen van een beveiligingsniveau aan een document dat aanvankelijk op het basisbeschermingsniveau was gerubriceerd) stelt Europol de betrokken lidstaat op de hoogte en wordt er getracht overeenstemming te bereiken over een passend beveiligingsniveau. Zonder een dergelijke overeenstemming worden door Europol geen beveiligingsniveaus gespecificeerd, gewijzigd, toegevoegd of opgeheven.

4. Wanneer door Europol gegenereerde informatie stoelt op, of mede bestaat uit, door een lidstaat verstrekte informatie, bepaalt Europol in overeenstemming met de betrokken lidstaten of het basisbeschermingsniveau volstaat, dan wel of een Europol-beveiligingsniveau vereist is.

5. Wanneer informatie door Europol zelf wordt gegenereerd en niet stoelt op noch mede bestaat uit door een lidstaat verstrekte informatie, bepaalt Europol het passende beveiligingsniveau voor dergelijke informatie volgens door het beveiligingscomité bepaalde criteria. Indien nodig markeert Europol de informatie dienovereenkomstig.

6. De lidstaten en Europol raadplegen, wanneer informatie ook de wezenlijke belangen van een andere lidstaat aangaat, deze laatste over de vraag of aan die informatie een beveiligingsniveau moet worden toegekend en zo ja, welk beveiligingsniveau.

Artikel 10 Wijziging van beveiligingsniveaus

1. De lidstaat die informatie aan Europol heeft verstrekt, kan te allen tijde eisen dat een gekozen beveiligingsniveau gewijzigd wordt, of dat een beveiligingsniveau wordt opgeheven of toegevoegd. Europol is verplicht het beveiligingsniveau te wijzigen, op te heffen of toe te voegen overeenkomstig de wensen van de betrokken lidstaat.

2. Zodra de omstandigheden zulks toelaten, verzoekt de betrokken lidstaat een beveiligingsniveau te verlagen of op te heffen.

3. Een lidstaat die aan Europol informatie verstrekt, kan aangeven voor welke periode een gekozen beveiligingsniveau geldt en welke wijzigingen daarna eventueel in het beveiligingsniveau moeten worden aangebracht.

4. Wanneer de keuze van het basisbeschermingsniveau of het beveiligingsniveau bepaald is door Europol, overeenkomstig artikel 9, lid 4, wordt een wijziging van het basisbeschermingsniveau of het beveiligingsniveau alleen door Europol uitgevoerd in overeenstemming met de betrokken lidstaten.

5. Wanneer de keuze van het beveiligingsniveau bepaald is door Europol overeenkomstig artikel 9, lid 5, kan Europol het beveiligingsniveau te allen tijde wijzigen indien zulks nodig wordt geacht.

6. Wanneer informatie waarvan het beveiligingsniveau overeenkomstig dit artikel wordt gewijzigd, reeds aan andere lidstaten is toegezonden, is Europol verplicht om de ontvangers van de wijziging van het beveiligingsniveau op de hoogte te brengen.

Artikel 11 Verwerking, toegang en machtiging

1. Toegang tot en bezit van informatie wordt binnen Europol beperkt tot personen die uit hoofde van hun taken of verplichtingen kennis moeten nemen van de informatie of ermee moeten werken. Personen aan wie de verwerking van informatie wordt toevertrouwd, ondergaan elk nodig veiligheidsonderzoek en worden speciaal opgeleid.

2. Eenieder die toegang heeft tot door Europol verwerkte informatie waarvoor een beveiligingsniveau geldt, ondergaat een veiligheidsonderzoek overeenkomstig artikel 31, lid 2, van de Europol-overeenkomst en het beveiligingshandboek. De beveiligingscoördinator verleent, ingevolge een voorstel van de beveiligingsofficier, overeenkomstig de bepalingen van het beveiligingshandboek, machtiging aan personen die op het passende nationale veiligheidsniveau gemachtigd zijn en die uit hoofde van hun taken of verplichtingen kennis moeten nemen van informatie waarvoor een Europol-beveiligingsniveau geldt. De beveiligingscoördinator is tevens verantwoordelijk voor de uitvoering van lid 3.

3. Niemand heeft toegang tot informatie waarvoor een beveiligingsniveau geldt zonder op het passende veiligheidsniveau gemachtigd te zijn. Bij wijze van uitzondering kan de beveiligingscoördinator evenwel, na overleg met de beveiligingsofficier, aan de op niveau 1 of 2 gemachtigde personen specifieke en beperkte machtiging verlenen voor toegang tot bepaalde informatie van een hoger niveau waarvan zij uit hoofde van hun taken of verplichtingen in een specifiek geval kennis moeten nemen.

4. Een dergelijke machtiging wordt niet verleend indien een lidstaat bij het verschaffen van de betreffende informatie heeft gespecificeerd dat de in lid 3 bedoelde bevoegdheid van de beveiligingscoördinator niet wordt uitgeoefend met betrekking tot die informatie.

Artikel 12 Derde partijen

Wanneer Europol met derde partijen overeenkomstig artikel 18, lid 6, van de Europol-overeenkomst een overeenkomst ter bescherming van geheime informatie dan wel overeenkomstig artikel 42 van de Europol-overeenkomst een overeenkomst sluit, houdt Europol rekening met de beginselen van deze regeling en van het beveiligingshandboek, welke dienovereenkomstig moeten worden toegepast op informatie die met deze derde partijen wordt uitgewisseld.

HOOFDSTUK IV

SLOTBEPALINGEN

Artikel 13 Inwerkingtreding

Dit besluit treedt in werking op 1 januari 1999.

Artikel 14 Herziening van de regeling

Voorstellen betreffende wijzigingen van deze regeling worden door de raad van bestuur in overweging genomen met het oog op de aanneming ervan door de Raad overeenkomstig de procedure van artikel 31, lid 1, van de Europol-overeenkomst.

Gedaan te Brussel, 3 november 1998.

Voor de Raad

De Voorzitter

B. PRAMMER

(1) PB C 316 van 27.11.1995, blz. 2.

BIJLAGE

Tabel van nationale rubriceringen en daaraan gelijkwaardige corresponderende Europol-rubriceringen

Deze tabel dient ter illustratie: de lidstaten zijn verplicht een beschermingsniveau te bieden dat gelijkwaardig is aan het niveau dat Europol biedt, veeleer dan de documenten van een specifiek label te voorzien.

>RUIMTE VOOR DE TABEL>

OPMERKING

Zoals vermeld in artikel 2, lid 4, stelt Europol een herziene versie van dit overzicht op wanneer de dienst in kennis wordt gesteld van een wijziging van de nationale bepalingen. Het Europol-beveiligingscomité gaat ten minste één keer per jaar na of het overzicht nog actueel is. Eventuele problemen bij de toepassing van het concept "gelijkwaardig beschermingsniveau" worden tussen de lidstaten en Europol besproken, dan wel gezamenlijk in het beveiligingscomité. Dit comité bekijkt eveneens de implicaties voor de tabel van eventuele aanpassingen in de Europol-beveiligingspakketten zoals die in het beveiligingshandboek staan.