30.1.2010

NL

Publicatieblad van de Europese Unie

L 26/30

---

BESLUIT 2010/53/GBVB VAN DE RAAD

van 30 november 2009

betreffende de sluiting van de Overeenkomst tussen Australië en de Europese Unie inzake de beveiliging van gerubriceerde gegevens

DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag betreffende de Europese Unie, en met name op artikel 24,

Gezien de aanbeveling van het voorzitterschap,

Overwegende hetgeen volgt:

(1)

Tijdens zijn zitting van 9 maart 2009 heeft de Raad besloten het voorzitterschap, bijgestaan door de secretaris-generaal/hoge vertegenwoordiger (SG/HV) en met volledige betrokkenheid van de Commissie, te machtigen om overeenkomstig artikel 24 van het VEU onderhandelingen aan te gaan met Australië, met het oog op de sluiting van een overeenkomst inzake de beveiliging van gegevens.

(2)	Ingevolge deze machtiging om onderhandelingen aan te gaan, heeft het voorzitterschap, bijgestaan door de SG/HV, overeenstemming bereikt over een overeenkomst met Australië inzake de beveiliging van gerubriceerde gegevens.

(3)	Deze overeenkomst dient te worden goedgekeurd,

BESLUIT:

Artikel 1

De Overeenkomst tussen Australië en de Europese Unie inzake de beveiliging van gerubriceerde gegevens wordt namens de Europese Unie goedgekeurd.

De tekst van de overeenkomst is bij dit besluit gevoegd.

Artikel 2

De voorzitter van de Raad is gemachtigd de persoon (personen) aan te wijzen die bevoegd is (zijn) de overeenkomst te ondertekenen teneinde daardoor de Europese Unie te binden.

Artikel 3

Dit besluit wordt van kracht op de datum waarop het wordt aangenomen.

Artikel 4

Dit besluit wordt bekendgemaakt in het Publicatieblad van de Europese Unie.

---

30.1.2010

NL

Publicatieblad van de Europese Unie

L 26/31

---

VERTALING

OVEREENKOMST

tussen Australië en de Europese Unie inzake de beveiliging van gerubriceerde gegevens

AUSTRALIË,

en

DE EUROPESE UNIE,

hierna „de partijen” genoemd,

OVERWEGENDE dat de partijen zich beide ten doel stellen, hun eigen veiligheid op alle mogelijke manieren te versterken en hun burgers een hoog niveau van veiligheid in een veilige ruimte te bieden;

OVERWEGENDE dat de partijen het erover eens zijn dat onderling overleg en onderlinge samenwerking over beveiligingsaangelegenheden van gemeenschappelijk belang geboden zijn;

OVERWEGENDE dat er in dit verband een voortdurende behoefte bestaat aan uitwisseling van gerubriceerde gegevens tussen de partijen;

ONDERKENNENDE dat het voor een volledig en doeltreffend overleg en dito samenwerking nodig kan zijn dat toegang wordt verleend tot gerubriceerde gegevens van Australië en van de Europese Unie, en dat gerubriceerde gegevens worden uitgewisseld tussen Australië en de Europese Unie;

ZICH ERVAN BEWUST dat een dergelijke toegang tot en uitwisseling van gerubriceerde gegevens passende beveiligingsmaatregelen vereisen;

AANGEZIEN de Europese Unie en Australië op 29 oktober 2008 een partnerschapskader hebben ondertekend ter ondersteuning van een aantal gemeenschappelijke doelstellingen;

AANGEZIEN doelstelling 1 van het partnerschapskader met name voorziet in het openen van onderhandelingen over een overeenkomst inzake de beveiliging van gerubriceerde gegevens;

ZIJN OVEREENGEKOMEN HETGEEN VOLGT:

Artikel 1

Toepassingsgebied

1.   Met het oog op de verwezenlijking van de doelstelling van versterking van de bilaterale en multilaterale dialoog en samenwerking ten behoeve van gedeelde belangen op het gebied van het buitenlandse beleid en veiligheid, is de onderhavige overeenkomst van toepassing op gerubriceerde gegevens, als gedefinieerd in artikel 2, onder a), die tussen de partijen worden verstrekt of uitgewisseld.

2.   Elke partij beschermt de van de andere partij ontvangen gerubriceerde gegevens, met name tegen openbaarmaking zonder machtiging.

3.   Elke partij vervult haar verplichtingen uit hoofde van deze overeenkomst volgens haar wet- en regelgeving.

Artikel 2

Definities

Voor de toepassing van deze overeenkomst wordt verstaan onder:

a)   „gerubriceerde gegevens”: alle gegevens die een door een van de partijen toegekende veiligheidsrubricering dragen (als genoemd in artikel 4), en waarvan openbaarmaking zonder machtiging de belangen van één van de partijen in meerdere of mindere mate zou kunnen schaden of benadelen. De gegevens kunnen in mondelinge, visuele, elektronische, magnetische of documentaire vorm zijn, dan wel in de vorm van materiaal, uitrusting of technologie daaronder begrepen, en omvatten tevens reproducties en vertalingen;

b)   „de Europese Unie”: de Raad van de Europese Unie (hierna „de Raad” genoemd), de secretaris-generaal/hoge vertegenwoordiger en het secretariaat-generaal van de Raad, alsook de Commissie van de Europese Gemeenschappen (hierna „de Commissie” genoemd);

c)   „leverende partij”: de partij die gerubriceerde gegevens aan de andere partij verstrekt;

d)   „ontvangende partij”: de partij die gerubriceerde gegevens van de leverende partij ontvangt;

e)   „veiligheidsrubricering”: de aanduiding die door de leverende partij aan gegevens wordt toegekend om het minimale beschermingsniveau aan te geven dat voor deze gegevens moet gelden teneinde ze te beschermen tegen openbaarmaking die voor de leverende partij schadelijke gevolgen zou kunnen hebben. De beveiligingsrubriceringen van elke partij zijn als vermeld in artikel 4;

f)   „kennisnemingsbehoefte”: het beginsel dat toegang tot gerubriceerde gegevens beperkt moet zijn tot degenen die daarvan gebruik moeten maken om hun officiële taken uit te oefenen;

g)   „derde partij”: elke andere persoon of entiteit dan de partijen;

h)   „aannemer”: een natuurlijke persoon (die niet bij Australië of de Europese Unie op grond van een arbeidsovereenkomst in dienst is) of een rechtspersoon die over de wettelijke bevoegdheid beschikt om overeenkomsten aan te gaan voor de levering van goederen of diensten; deze term heeft tevens betrekking op een onderaannemer.

Artikel 3

Beschermingsniveau

Iedere partij en de in artikel 2, onder b), van deze overeenkomst bedoelde entiteiten van die partijen, zorgen ervoor dat zij beschikken over een beveiligingssysteem en over beveiligingsmaatregelen gebaseerd op de grondbeginselen en minimumnormen voor beveiliging die zijn vastgelegd in haar wet- en regelgeving, en die zijn weerspiegeld in de overeenkomstig artikel 12 vast te stellen beveiligingsregelingen, opdat er een gelijkwaardig beschermingsniveau geldt voor gerubriceerde gegevens die uit hoofde van deze overeenkomst worden uitgewisseld.

Artikel 4

Beveiligingsrubriceringen

1.   Gerubriceerde gegevens worden met de volgende beveiligingsrubriceringen aangeduid:

a)	voor Australië worden gerubriceerde gegevens aangeduid met TOP SECRET, SECRET of HIGHLY PROTECTED, CONFIDENTIAL of PROTECTED, RESTRICTED of X-IN-CONFIDENCE;

b)	voor de Europese Unie worden gerubriceerde gegevens aangeduid met TRES SECRET UE/EU TOP SECRET, SECRET UE, CONFIDENTIEL UE of RESTREINT UE.

2.   De met elkaar overeenkomende beveiligingsrubriceringen zijn:

Voor de Europese Unie	Voor Australië
TRES SECRET UE/EU TOP SECRET	TOP SECRET
SECRET UE	SECRET of HIGHLY PROTECTED
CONFIDENTIEL UE	CONFIDENTIAL of PROTECTED
RESTREINT UE	RESTRICTED of X-IN-CONFIDENCE

3.   Alvorens gerubriceerde gegevens te verstrekken, kent de leverende partij aan gerubriceerde gegevens een beveiligingsrubricering toe en vermeldt zij door middel van een stempel, markering of aanduiding de naam van de leverende partij op de gerubriceerde gegevens.

4.   De leverende partij kan daarnaast op de gerubriceerde gegevens eventuele beperkingen op het gebruik, de openbaarmaking, de vrijgave en de toegang door de ontvangende partij specificeren. De ontvangende partij neemt alle genoemde beperkingen in acht.

Artikel 5

Bescherming van gerubriceerde gegevens

Elke partij:

a)

zorgt voor de beveiliging van de inrichtingen waar gerubriceerde gegevens worden bewaard die haar door de andere partij zijn verstrekt, en zij zorgt er ten aanzien van elk van dergelijke inrichtingen voor dat alle nodige maatregelen worden genomen om de door de andere partij uit hoofde van deze overeenkomst verstrekte gegevens te bewaken en te beschermen;

b)

draagt er zorg voor dat de uit hoofde van deze overeenkomst uitgewisselde gerubriceerde gegevens de beveiligingsrubricering behouden die door de leverende partij daaraan is toegekend en niet lager worden gerubriceerd of gederubriceerd zonder voorafgaande schriftelijke toestemming van de leverende partij;

c)	geeft aan gerubriceerde gegevens die zij heeft ontvangen van de leverende partij een mate van bescherming die ten minste gelijkwaardig is aan die welke aan haar eigen gerubriceerde gegevens in een corresponderende beveiligingsrubricering als vermeld in artikel 4, lid 2, wordt gegeven;

d)	gebruikt de gerubriceerde gegevens niet voor andere doeleinden dan die welke door de leverende partij zijn vastgesteld of waarvoor de gegevens zijn geleverd;

e)	maakt de gerubriceerde gegevens niet zonder voorafgaande schriftelijke toestemming van de leverende partij openbaar aan derden of aan enige EU-instelling of -entiteit die niet in artikel 2, onder b), wordt genoemd;

f)	staat de toegang van particulieren tot die gerubriceerde gegevens niet toe, tenzij voor hen een kennisnemingsbehoefte geldt om hun officiële taken te kunnen uitoefenen en zij indien nodig aan een passend beveiligingsonderzoek voor toegang tot die gerubriceerde gegevens zijn onderworpen;

g)	zorgt ervoor dat alle personen die toegang hebben tot gerubriceerde gegevens op de hoogte zijn van hun verantwoordelijkheden inzake de bescherming van de gegevens overeenkomstig de wet- en regelgeving van die partij; en

h)	zorgt ervoor dat de rechten van de bron van in het kader van deze overeenkomst uitgewisselde gerubriceerde gegevens, evenals de intellectuele-eigendomsrechten zoals octrooien, auteursrechten of fabrieksgeheimen, naar behoren worden beschermd.

Artikel 6

Vrijgave van gerubriceerde gegevens

1.   Gerubriceerde gegevens kunnen, na controle door de afzender, door de „leverende partij” bekendgemaakt of vrijgegeven worden aan de „ontvangende partij”.

2.   Bij de toepassing van lid 1 is algemene vrijgave niet mogelijk, tenzij tussen de partijen ingevolge artikel 12 procedures inzake bepaalde categorieën van gerubriceerde gegevens zijn overeengekomen welke beantwoorden aan hun operationele behoeften.

Artikel 7

Veiligheidsmachtigingen

1.   De toegang tot gerubriceerde gegevens moet beperkt zijn tot personen in Australië en in de Europese Unie die:

a)	op basis van het beginsel van kennisnemingsbehoefte toegang tot die gerubriceerde gegevens moeten krijgen om hun officiële taken uit te oefenen; en tevens

b)

indien zij toegang moeten krijgen tot gegevens die als CONFIDENTIAL, PROTECTED, CONFIDENTIEL UE of hoger zijn gerubriceerd, een persoonlijke veiligheidsmachtiging op het passende niveau hebben ontvangen, of anderszins uit hoofde van hun functie naar behoren zijn gemachtigd in overeenstemming met de desbetreffende wet- en regelgeving.

2.   Het besluit van een partij om iemand een persoonlijke veiligheidsmachtiging te verlenen, moet verenigbaar zijn met de veiligheidsbelangen van die partij en moet gebaseerd zijn op alle beschikbare informatie waaruit de onbetwistbare loyaliteit, integriteit, eerlijkheid en betrouwbaarheid van de betrokkene blijkt.

3.   De veiligheidsmachtigingen voor het personeel van elke partij moeten gebaseerd zijn op een passend en voldoende grondig onderzoek om de zekerheid te verstrekken dat aan de in lid 2 genoemde criteria is voldaan met betrekking tot elke persoon aan wie toegang tot gerubriceerde gegevens zal worden verleend.

Artikel 8

Beveiligingsbezoeken en -procedures

1.   De partijen verlenen elkaar bijstand op het gebied van de beveiliging van gerubriceerde gegevens die overeenkomstig deze overeenkomst worden uitgewisseld.

2.   De in artikel 12 genoemde autoriteiten voeren overleg over beveiligingsaangelegenheden en leggen wederzijdse evaluatiebezoeken af, teneinde zich te vergewissen van de doeltreffendheid van de uit hoofde van deze overeenkomst getroffen maatregelen en de ingevolge artikel 12 in te stellen beveiligingsregelingen voor de bescherming van de tussen de partijen uitgewisselde gerubriceerde gegevens.

3.   Elke partij verstrekt de andere partij, op verzoek, informatie over haar beveiligingsnormen, -procedures en -praktijken op het gebied van de bescherming van gerubriceerde gegevens. Elke partij informeert de andere partij schriftelijk over eventuele wijzigingen in haar beveiligingsnormen, -procedures en -praktijken die gevolgen hebben voor de wijze waarop gerubriceerde gegevens worden beschermd en vernietigd.

Artikel 9

Vrijgave van gerubriceerde gegevens aan aannemers

Door de ontvangende partij ontvangen gerubriceerde gegevens mogen alleen na voorafgaande schriftelijke toestemming van de leverende partij worden verstrekt aan een aannemer of potentiële aannemer. Voordat de van de leverende partij ontvangen gerubriceerde gegevens worden vrijgegeven of bekendgemaakt aan een aannemer of potentiële aannemer, vergewist de ontvangende partij zich ervan dat:

a)	die aannemer of potentiële aannemer, en zijn personeel dat toegang moet krijgen tot gerubriceerde gegevens, beschikken over een persoonlijke veiligheidsmachtiging als bedoeld in artikel 7; en

b)	diens inrichtingen de capaciteit hebben om de gerubriceerde gegevens op een passende manier te beschermen.

Artikel 10

Procedures voor de uitwisseling van gerubriceerde gegevens

1.   Voor de toepassing van deze overeenkomst:

a)	worden, wat de Europese Unie betreft, alle schriftelijke gerubriceerde gegevens gezonden aan het hoofd postregistratie van de Raad van de Europese Unie, en door het hoofd postregistratie van de Raad doorgezonden naar de lidstaten en de Commissie, onverminderd lid 3;

b)

worden, wat Australië betreft, alle gerubriceerde gegevens gezonden naar de postregistratie van de desbetreffende instantie of dienst van de Australische regering, via de Australische ambassade en de missie van de regering van Australië bij de Europese Unie te Brussel. Het adres van de desbetreffende instantie of dienst van de Australische regering wordt vermeld in de ingevolge artikel 12 door de partijen opgestelde beveiligingsregelingen.

2.   De elektronische transmissie van gerubriceerde gegevens wordt geëncrypteerd overeenkomstig de voorschriften van de leverende partij zoals die in haar beveiligingsbeleid en -voorschriften zijn aangegeven. Bij de transmissie, de ontvangst, de opslag en de verwerking van gerubriceerde gegevens in interne netwerken van de partijen wordt voldaan aan de voorschriften van de leverende partij.

3.   Bij wijze van uitzondering kan de correspondentie van een partij waartoe slechts bepaalde daartoe bevoegde ambtenaren, organen of diensten van deze partij toegang hebben, om operationele redenen gericht worden aan en toegankelijk zijn voor uitsluitend bepaalde daartoe bevoegde ambtenaren, organen of diensten van de andere partij, die daartoe uitdrukkelijk als ontvangers zijn aangewezen, gelet op hun bevoegdheden en volgens het need-to-know-beginsel. Wat de Europese Unie betreft, wordt de doorzending van deze correspondentie verzorgd door het hoofd postregistratie van de Raad, of door het hoofd postregistratie van het secretariaat-generaal van de Commissie wanneer de gegevens aan de Commissie zijn gericht. Wat Australië betreft, worden de gerubriceerde gegevens verzonden overeenkomstig lid 1, onder b).

Artikel 11

Toezicht

1.   Voor de Europese Unie houden de secretaris-generaal van de Raad en het voor beveiligingsvraagstukken bevoegde lid van de Commissie toezicht op de uitvoering van deze overeenkomst.

2.   Voor de regering van Australië houden de minister van Buitenlandse Zaken, de minister van Defensie en de Attorney-General toezicht op de uitvoering van deze overeenkomst.

Artikel 12

Beveiligingsregelingen

1.   Ter uitvoering van deze overeenkomst worden door de in de leden 2, 3 en 4 genoemde verantwoordelijke beveiligingsautoriteiten schriftelijk onderlinge beveiligingsregelingen ingesteld om de normen vast te stellen voor de wederzijdse bescherming van gerubriceerde gegevens in het kader van deze overeenkomst.

2.   Het bureau van de Attorney-General, dat optreedt namens en onder het gezag van de regering van Australië, werkt de beveiligingsregelingen uit voor de bescherming en beveiliging van gerubriceerde gegevens die in het kader van deze overeenkomst aan Australië worden geleverd.

3.   Het Bureau beveiliging van het secretariaat-generaal van de Raad van de Europese Unie, dat onder leiding staat en handelt in naam van de secretaris-generaal van de Raad en dat optreedt namens en onder het gezag van de Raad, ontwikkelt de beveiligingsregelingen voor de bescherming en beveiliging van gerubriceerde gegevens die in het kader van deze overeenkomst aan de Europese Unie worden geleverd.

4.   Het directoraat Beveiliging van de Commissie, dat optreedt onder het gezag van het voor beveiligingsvraagstukken bevoegde lid van de Commissie, ontwikkelt de beveiligingsregelingen voor de bescherming van gerubriceerde gegevens die in het kader van deze overeenkomst binnen de Commissie en haar gebouwen worden verzonden.

5.   Wat de Europese Unie betreft, worden de in lid 1 bedoelde beveiligingsregelingen ter goedkeuring aan het Beveiligingscomité van de Raad voorgelegd.

Artikel 13

Verlies of aantasting van het vertrouwelijke karakter

De in artikel 12 genoemde autoriteiten stellen procedures vast die moeten worden gevolgd:

a)	in geval van bewijzen of vermoedens van verlies of aantasting van het vertrouwelijke karakter van uit hoofde van deze overeenkomst geleverde of uitgewisselde gerubriceerde gegevens; en

b)

om de leverende partij in kennis te stellen van de resultaten van het onderzoek en informatie betreffende de genomen maatregelen om herhaling te voorkomen van verlies of aantasting van het vertrouwelijke karakter van uit hoofde van deze overeenkomst geleverde of uitgewisselde gerubriceerde gegevens.

Artikel 14

Kosten

Elke partij neemt de kosten die zij ter uitvoering van deze overeenkomst heeft gemaakt, voor haar rekening.

Artikel 15

Vermogen om te beschermen

Voordat de partijen elkaar gerubriceerde gegevens uit hoofde van deze overeenkomst leveren of onderling uitwisselen, zijn de in artikel 12 genoemde verantwoordelijke beveiligingsautoriteiten het erover eens dat de ontvangende partij in staat is de gegevens conform de ingevolge dat artikel ingestelde beveiligingsregelingen te beschermen en te beveiligen.

Artikel 16

Andere overeenkomsten

Deze overeenkomst verhindert de partijen niet andere overeenkomsten en regelingen betreffende de verstrekking of uitwisseling van gerubriceerde gegevens te sluiten, mits deze niet tegen deze overeenkomst indruisen.

Artikel 17

Geschillenbeslechting

Geschillen tussen Australië en de Europese Unie die voortkomen uit de uitlegging of de toepassing van deze overeenkomst, worden uitsluitend via overleg tussen de partijen opgelost.

Artikel 18

Inwerkingtreding en wijziging

1.   Deze overeenkomst treedt in werking op de eerste dag van de eerste maand na die waarin de partijen elkaar schriftelijk kennis hebben gegeven van de voltooiing van de daartoe vereiste interne procedures.

2.   Elke partij stelt de andere partij in kennis van eventuele wijzigingen in haar wet- en regelgeving die gevolgen zouden kunnen hebben voor de bescherming van de in deze overeenkomst bedoelde gerubriceerde gegevens. In die gevallen treden de partijen in overleg om overeenkomstig lid 4 de nodige wijzigingen in deze overeenkomst aan te brengen.

3.   Deze overeenkomst kan, op verzoek van een van beide partijen, ter overweging van mogelijke wijzigingen opnieuw in behandeling worden genomen.

4.   Wijzigingen van deze overeenkomst komen uitsluitend schriftelijk en in overeenstemming tussen de partijen tot stand. Zij treden in werking na wederzijdse kennisgeving als bedoeld in lid 1.

Artikel 19

Opzegging

1.   Elke partij mag deze overeenkomst te allen tijde opzeggen door daarvan langs schriftelijke weg kennisgeving te doen. De opzegging wordt van kracht negentig (90) dagen na de datum waarop aan de andere partij kennisgeving daarvan is gedaan.

2.   Ondanks de opzegging van deze overeenkomst blijven alle volgens deze overeenkomst door de partijen ontvangen verstrekte gegevens onderworpen aan bescherming volgens het bepaalde in deze overeenkomst. De partijen plegen onmiddellijk overleg over de verwerking of verwijdering van die gerubriceerde gegevens.