17.12.2009

NL

Publicatieblad van de Europese Unie

L 332/17

---

BESLUIT 2009/968/JBZ VAN DE RAAD

van 30 november 2009

houdende vaststelling van de geheimhoudingsregels betreffende Europol-informatie

DE RAAD VAN DE EUROPESE UNIE,

Gelet op Besluit 2009/371/JBZ van de Raad van 6 april 2009 tot oprichting van de Europese politiedienst (Europol) (1) („het Europol-besluit”), en met name op artikel 40,

Gezien de door de raad van bestuur voorgelegde ontwerpregels,

Gezien het advies van het Europees Parlement,

Overwegende hetgeen volgt:

Overeenkomstig het Europol-besluit dient de Raad met gekwalificeerde meerderheid van stemmen en na raadpleging van het Europees Parlement, geheimhoudingsregels vast te stellen met betrekking tot informatie die wordt ingewonnen door of wordt uitgewisseld met Europol (hierna: „de regels” genoemd),

BESLUIT:

HOOFDSTUK I

DEFINITIES EN WERKINGSSFEER

Artikel 1

Definities

Voor deze regeling gelden de volgende definities:

a)

„informatieverwerking” of „verwerking”: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of niet-persoonsgebonden gegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

b)	„derde partij”: de entiteiten bedoeld in artikel 22, lid 1, en artikel 23, lid 1, van het Europol-besluit;

c)	„Europol-beveiligingscomité”: het in artikel 4 omschreven comité, bestaande uit vertegenwoordigers van de lidstaten en van Europol;

d)	„Europol-beveiligingscoördinator”: de adjunct-directeur die, naast zijn andere taken, door de directeur van Europol overeenkomstig artikel 38, lid 2, van het Europol-besluit met de coördinatie en de controle van de beveiliging is belast;

e)	„Europol-beveiligingsofficier”: de Europol-functionaris die door de directeur van Europol is benoemd en verantwoordelijk is voor beveiligingskwesties, overeenkomstig artikel 6;

f)	„beveiligingshandboek”: het handboek waarmee deze regeling ten uitvoer wordt gelegd en dat overeenkomstig artikel 7 moet worden opgesteld;

g)	„rubriceringsniveau”: het beveiligingsniveau dat aan een door of via Europol verwerkt document wordt toegekend, zoals bedoeld in artikel 10;

h)	„beveiligingspakket”: een bepaalde combinatie van beveiligingsmaatregelen die van toepassing is op informatie waarvoor een bepaald Europol-rubriceringsniveau geldt, zoals bedoeld in artikel 10;

i)	„basisbeschermingsniveau”: het beschermingsniveau dat geldt voor alle door of via Europol verwerkte informatie, uitgezonderd voor informatie die duidelijk herkenbaar of uitdrukkelijk gemarkeerd is als publieke informatie, zoals bedoeld in artikel 10, lid 1;

j)	„personeel”: tijdelijke functionarissen en/of arbeidscontractanten, bedoeld in artikel 39, lid 4, van het Europol-besluit;

k)

„gerubriceerde Europol-informatie”: informatie en materiaal in iedere vorm, waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van Europol of van één of meer lidstaten in meerdere of mindere mate zou kunnen schaden, en waarvoor goede beveiligingsmaatregelen, zoals omschreven in artikel 7, lid 2, onder b), noodzakelijk zijn.

Artikel 2

Werkingssfeer

1.   In deze regeling worden de beveiligingsmaatregelen vastgesteld die worden toegepast op alle informatie die door of via Europol wordt verwerkt.

2.   De communicatiekanalen tussen Europol en de nationale eenheden van de lidstaten, als bedoeld in artikel 8 van het Europol-besluit, bieden een niveau van bescherming dat gelijkwaardig is aan het niveau dat geboden wordt door deze maatregelen. Het beveiligingscomité zal voor deze communicatiekanalen een gemeenschappelijke norm goedkeuren.

3.   De bijlage bij deze regeling bevat een overzicht van de in artikel 10 genoemde Europol-rubriceringsniveaus en de overeenkomstige markeringen die in de lidstaten gebruikt worden voor informatie waarop de rubriceringsniveaus van toepassing zijn. Wanneer een lidstaat de overige lidstaten en Europol in kennis stelt van een wijziging van de nationale bepalingen inzake rubriceringsniveaus of de overeenkomstige markeringen, stelt Europol een herziene versie van het in bijlage opgenomen overzicht op. Ten minste eenmaal per jaar gaat het Europol-beveiligingscomité na of het overzicht nog actueel is.

HOOFDSTUK II

BEVEILIGINGSTAKEN

Artikel 3

Taken van de lidstaten

1.   De lidstaten verbinden zich ertoe te waarborgen dat Europol-informatie op hun grondgebied een niveau van bescherming krijgt dat gelijkwaardig is aan het niveau dat geboden wordt door deze regeling.

2.   De lidstaten stellen de beveiligingscoördinator in kennis van alle inbreuken op de beveiliging die de belangen van Europol of van een lidstaat kunnen schaden. In laatstgenoemd geval wordt de lidstaat in kwestie ook rechtstreeks via de nationale eenheid op de hoogte gebracht.

Artikel 4

Beveiligingscomité

1.   Er wordt een beveiligingscomité opgericht, bestaande uit vertegenwoordigers van de lidstaten en van Europol, dat ten minste tweemaal per jaar vergadert.

2.   Het beveiligingscomité heeft tot taak de raad van bestuur en de directeur van Europol advies te geven over aangelegenheden die verband houden met het beveiligingsbeleid, met inbegrip van de toepassing van het beveiligingshandboek.

3.   Het beveiligingscomité stelt zijn reglement van orde vast. De vergaderingen van het Europol-beveiligingscomité worden voorgezeten door de beveiligingscoördinator.

Artikel 5

Beveiligingscoördinator

1.   De beveiligingscoördinator is in het algemeen verantwoordelijk voor alle aangelegenheden die betrekking hebben op de beveiliging, met inbegrip van de beveiligingsmaatregelen die in deze regeling en in het beveiligingshandboek staan. De coördinator controleert de toepassing van de beveiligingsvoorschriften en brengt alle inbreuken op de beveiligingsvoorschriften ter kennis van de directeur. Wanneer er sprake is van een ernstige inbreuk brengt de directeur de raad van bestuur op de hoogte. Indien de inbreuk de belangen van een lidstaat dreigt te schaden, wordt ook deze lidstaat ervan in kennis gesteld.

2.   De beveiligingscoördinator is rechtstreeks verantwoording verschuldigd aan de directeur van Europol.

3.   De beveiligingscoördinator is gemachtigd op het hoogste veiligheidsniveau volgens de wet- en regelgeving van de lidstaat waarvan hij onderdaan is.

Artikel 6

Beveiligingsofficieren

1.   De beveiligingsofficieren helpen de directeur bij het uitvoeren van de beveiligingsmaatregelen die in deze regeling en in het beveiligingshandboek staan. De beveiligingsofficieren zijn rechtstreeks verantwoording verschuldigd aan de beveiligingscoördinator. De beveiligingsofficieren hebben de volgende specifieke taken:

a)	zij instrueren, helpen en adviseren iedereen bij Europol en eenieder voor wie een bijzondere zwijg- of geheimhoudingsplicht in verband met Europol-activiteiten geldt, bij de taken die zij uit hoofde van deze regeling en het beveiligingshandboek hebben;

b)	zij zien toe op de naleving van de beveiligingsvoorschriften, onderzoeken inbreuken daarop en brengen daarover onmiddellijk verslag uit aan de beveiligingscoördinator;

c)

zij toetsen geregeld of de beveiligingsmaatregelen toereikend zijn, en doen dat op basis van dreigingsevaluaties. Te dien einde brengen zij in de regel ten minste eenmaal per maand, en in uitzonderlijke gevallen zo vaak als nodig wordt geacht, verslag uit bij de beveiligingscoördinator, en formuleren zij aanbevelingen en adviezen;

d)	zij voeren de taken uit die zij krachtens deze regeling of het beveiligingshandboek hebben, en

e)	zij voeren andere taken uit die de beveiligingscoördinator hun opdraagt.

2.   De beveiligingsofficieren zijn gemachtigd op het voor hun taken vereiste veiligheidsniveau en volgens de wet- en regelgeving van de lidstaat waarvan zij onderdaan zijn.

Artikel 7

Beveiligingshandboek, procedure en inhoud

1.   Het beveiligingshandboek wordt aangenomen door de raad van bestuur na overleg met het beveiligingscomité.

2.   Het beveiligingshandboek geeft bestuurlijke aanwijzingen en ondersteuning voor beveiliging overeenkomstig hetgeen voor het werk nodig is en omschrijft hoe Europol het beveiligingsbeheer aanpakt. Het beveiligingshandboek omvat:

a)

gedetailleerde voorschriften over de binnen Europol toe te passen beveiligingsmaatregelen die voorzien in een basisbeschermingsniveau als bedoeld in artikel 10, lid 1, van deze regeling, gebaseerd op artikel 35 en artikel 41, lid 2, van het Europol-besluit, en rekening houdend met artikel 40, lid 3, van dat besluit;

b)

gedetailleerde voorschriften over de beveiligingsmaatregelen die overeenstemmen met de verschillende Europol-rubriceringsniveaus en de daarmee corresponderende beveiligingspakketten, bedoeld in artikel 10, leden 2 en 3. In het beveiligingshandboek wordt ook rekening gehouden met artikel 46 van het Europol-besluit.

3.   Het beveiligingshandboek wordt met regelmatige tussenpozen, en wanneer zich aanzienlijke veranderingen voordoen, herzien zodat wordt gegarandeerd dat het geschikt, adequaat en doeltreffend blijft.

4.   Wijzigingen van het beveiligingshandboek worden aangenomen overeenkomstig de in lid 1 omschreven procedure.

Artikel 8

Veiligheidaccreditatie van systemen

1.   Alle systemen van Europol voor de verwerking van gerubriceerde Europol-informatie zijn geaccrediteerd door de raad van bestuur, die eerst het beveiligingscomité raadpleegt en de verzekering krijgt dat de uit de systeemeigen beveiligingsvoorschriften (SSSR), het register van informatierisico’s en andere ter zake doende documentatie voortvloeiende beveiligingsmaatregelen daadwerkelijk worden uitgevoerd. Subsystemen en afzonderlijke terminals/werkstations worden geaccrediteerd als onderdeel van alle systemen waarmee zij zijn verbonden.

2.   De SSSR worden aangenomen en gewijzigd door de raad van bestuur, die eerst overleg pleegt met het beveiligingscomité. Deze SSSR moeten verenigbaar zijn met de relevante bepalingen van het beveiligingshandboek.

Artikel 9

Naleving

1.   Alle personeelsleden van Europol, evenals alle andere bij aan Europol gerelateerde activiteiten betrokken personen voor wie een bijzondere zwijg- of geheimhoudingsplicht geldt, zijn gehouden de beveiligingsmaatregelen van deze regeling en van het beveiligingshandboek na te leven.

2.   De directeur, de verbindingsbureaus en de nationale Europol-eenheden zijn verantwoordelijk voor de naleving van deze regeling en van het beveiligingshandboek overeenkomstig lid 1.

HOOFDSTUK III

ALGEMENE BEGINSELEN

Artikel 10

Basisbeschermingsniveau, rubriceringsniveaus en beveiligingspakketten

1.   Voor alle informatie die door of via Europol wordt verwerkt, behalve voor informatie die duidelijk herkenbaar of uitdrukkelijk gemarkeerd is als publieke informatie, geldt een basisbeschermingsniveau binnen Europol en in de lidstaten.

2.   Overeenkomstig artikel 3 waarborgen de lidstaten de toepassing van het in lid 1 bedoelde basisbeschermingsniveau door middel van maatregelen van uiteenlopende aard, overeenkomstig de nationale wet- en regelgeving, daaronder begrepen de zwijg- en geheimhoudingsplicht, het beperken van de toegang tot de informatie tot gemachtigde personeelsleden, vereisten inzake de bescherming van persoonsgegevens en algemene technische en proceduremaatregelen om de beveiliging van de informatie te waarborgen, zulks rekening houdend met artikel 41, lid 2, van het Europol-besluit.

3.   Aan informatie die extra beveiligingsmaatregelen vereist, wordt een Europol-rubriceringsniveau toegekend, dat als zodanig wordt gemarkeerd. Een beveiligingsniveau geldt alleen indien zulks absoluut noodzakelijk is en alleen voor zolang als nodig is.

4.   Er wordt gebruikgemaakt van de volgende rubriceringsniveaus van Europol:

a)   „RESTREINT UE/EU RESTRICTED”: deze rubricering wordt toegepast op informatie en materiaal waarvan de ongeoorloofde openbaarmaking schadelijk zou kunnen zijn voor de belangen van Europol, de Europese Unie of van één of meer lidstaten;

b)   „CONFIDENTIEL UE/EU CONFIDENTIAL”: deze rubricering wordt toegepast op informatie en materiaal waarvan de ongeoorloofde openbaarmaking schadelijk zou kunnen zijn voor de wezenlijke belangen van Europol, de Europese Unie of van één of meer lidstaten;

c)   „SECRET UE/EU SECRET”: deze rubricering wordt uitsluitend toegepast op informatie en materiaal waarvan de ongeoorloofde openbaarmaking in ernstige mate schadelijk zou kunnen zijn voor de wezenlijke belangen van Europol, de Europese Unie of van één of meer lidstaten;

d)   „TRÈS SECRET UE/EU TOP SECRET”: deze rubricering wordt toegepast op informatie en materiaal waarvan de ongeoorloofde openbaarmaking uitzonderlijk ernstige schade zou kunnen toebrengen aan de wezenlijke belangen van Europol, de Europese Unie of van één of meer lidstaten.

Op deze gerubriceerde informatie en materiaal wordt onder de rubriceringsmarkering een bijkomende markering („EUROPOL”) geplaatst, om aan te geven dat het document afkomstig is van Europol.

Aan elk Europol-rubriceringsniveau is een specifiek beveiligingspakket verbonden dat binnen Europol wordt toegepast. De beveiligingspakketten bieden verschillende beschermingsniveaus, afhankelijk van de inhoud van de informatie en gelet op de ernst van de gevolgen die ongeoorloofde toegang tot, verspreiding of gebruik van de informatie voor de belangen van Europol of van de lidstaten zouden kunnen hebben.

Wanneer gegevens van verschillende rubriceringsniveaus worden verzameld, wordt in elk geval het rubriceringsniveau van de gegevens met het hoogste beschermingsniveau toegepast. Aan een dergelijke verzameling van gegevens kan hoe dan ook een hoger beschermingsniveau worden toegekend dan aan de afzonderlijke gegevens.

De vertaling van gerubriceerde documenten krijgt hetzelfde rubriceringsniveau en dezelfde bescherming als het origineel.

5.   Er kan een waarschuwingsmarkering worden gebruikt voor bijkomende voorwaarden, zoals wanneer de verspreiding beperkt dient te blijven tot specifieke kanalen voor informatie-uitwisseling, wanneer er een embargo geldt of er een speciale verspreiding is op „need-to-know”-basis. Zulke waarschuwingsmarkeringen worden in het beveiligingshandboek omschreven.

6.   De beveiligingspakketten omvatten verscheidene maatregelen van fysieke, technische, organisatorische of administratieve aard, zoals omschreven in het beveiligingshandboek.

Artikel 11

Keuze van het rubriceringsniveau

1.   De lidstaat die aan Europol informatie verstrekt, is verantwoordelijk voor het bepalen van het juiste rubriceringsniveau voor dergelijke informatie, in overeenstemming met artikel 10. Eventueel duidt de lidstaat bij het verstrekken van informatie het Europol-rubriceringsniveau overeenkomstig artikel 10, lid 4, aan.

2.   Bij het bepalen van het rubriceringsniveau houden de lidstaten rekening met de wijze waarop informatie volgens hun nationale regelgeving wordt gerubriceerd, met de voor een adequaat functioneren van Europol vereiste operationele flexibiliteit en met de vereiste dat rubricering van rechtshandhavingsinformatie alleen bij uitzondering wordt toegepast en dat, indien een dergelijke rubricering noodzakelijk is, het laagst mogelijke niveau moet worden toegekend.

3.   Indien Europol — op basis van informatie waarover het reeds beschikt — concludeert dat de keuze van een rubriceringsniveau moet worden gewijzigd (zoals de mogelijke opheffing of toevoeging van een niveau, dan wel het toevoegen van een rubriceringsniveau aan een document dat aanvankelijk op het basisbeschermingsniveau zat), stelt Europol de betrokken lidstaat op de hoogte en wordt er getracht overeenstemming te bereiken over een passend rubriceringsniveau. Zonder een dergelijke overeenstemming worden door Europol geen rubriceringsniveaus gespecificeerd, gewijzigd, toegevoegd of opgeheven.

4.   Wanneer de door Europol gegenereerde informatie stoelt op, of mede bestaat uit, door een lidstaat verstrekte informatie, bepaalt Europol in overeenstemming met de betrokken lidstaat of het basisbeschermingsniveau volstaat, dan wel of er een Europol-rubriceringsniveau vereist is.

5.   Wanneer de informatie door Europol zelf wordt gegenereerd en niet stoelt op, noch mede bestaat uit door een lidstaat verstrekte informatie, bepaalt Europol het passende rubriceringsniveau voor dergelijke informatie volgens door het beveiligingscomité bepaalde criteria. Indien nodig markeert Europol de informatie dienovereenkomstig.

6.   Wanneer informatie ook de wezenlijke belangen van een andere lidstaat aangaat, raadplegen de lidstaten en Europol deze lidstaat over de vraag of aan die informatie een rubriceringsniveau moet worden toegekend en, zo ja, welk rubriceringsniveau.

Artikel 12

Wijziging van rubriceringsniveaus

1.   Een lidstaat die informatie aan Europol heeft verstrekt, kan te allen tijde eisen dat een gekozen rubriceringsniveau wordt gewijzigd, of dat een rubriceringsniveau wordt opgeheven of toegevoegd. Europol is verplicht het rubriceringsniveau op te heffen, te wijzigen of toe te voegen overeenkomstig de wensen van de betrokken lidstaat.

2.   Zodra de omstandigheden zulks toelaten, verzoekt de betrokken lidstaat het rubriceringsniveau in kwestie te verlagen of op te heffen.

3.   Een lidstaat die aan Europol informatie verstrekt, kan aangeven voor welke periode een gekozen rubriceringsniveau geldt en welke wijzigingen daarna eventueel in het rubriceringsniveau moeten worden aangebracht.

4.   Wanneer de keuze van het basisbeschermingsniveau of het rubriceringsniveau bepaald is door Europol, overeenkomstig artikel 11, lid 4, wijzigt Europol het basisbeschermingsniveau of het rubriceringsniveau alleen in overeenstemming met de betrokken lidstaten.

5.   Wanneer de keuze van het rubriceringsniveau bepaald is door Europol overeenkomstig artikel 11, lid 5, kan Europol het rubriceringsniveau te allen tijde wijzigen of opheffen indien zulks nodig wordt geacht.

6.   Wanneer informatie waarvan het rubriceringsniveau overeenkomstig dit artikel wordt gewijzigd, reeds aan andere lidstaten is toegezonden, is Europol verplicht de ontvangers van de wijziging van het rubriceringsniveau op de hoogte te brengen.

Artikel 13

Verwerking, toegang en veiligheidsmachtiging

1.   Toegang tot en bezit van informatie wordt binnen Europol beperkt tot personen die uit hoofde van hun taken of verplichtingen kennis moeten nemen van de informatie of ermee moeten werken. Personen aan wie de verwerking van informatie wordt toevertrouwd, hebben een passende veiligheidsmachtiging en worden speciaal opgeleid.

2.   Eenieder die toegang heeft tot door Europol verwerkte informatie waarvoor een rubriceringsniveau geldt, ondergaat een veiligheidsonderzoek overeenkomstig artikel 40, lid 2, van het Europol-besluit en het beveiligingshandboek. De beveiligingscoördinator verleent, op basis van het resultaat van het veiligheidsonderzoek en overeenkomstig de bepalingen van het beveiligingshandboek, machtiging aan personen die op het passende nationale veiligheidsniveau gemachtigd zijn en die uit hoofde van hun taken of verplichtingen kennis moeten nemen van informatie waarvoor een Europol-rubriceringsniveau geldt. De machtiging wordt geregeld door de beveiligingscoördinator opnieuw bezien. Een machtiging kan onmiddellijk door de beveiligingscoördinator worden ingetrokken, wanneer hij meent dat hiervoor te rechtvaardigen gronden aanwezig zijn. De beveiligingscoördinator is tevens verantwoordelijk voor de uitvoering van lid 3.

3.   Niemand heeft toegang tot informatie waarvoor een rubriceringsniveau geldt zonder op het passende veiligheidsniveau gemachtigd te zijn. Bij wijze van uitzondering kan de beveiligingscoördinator evenwel, na overleg met een beveiligingsofficier,

a)

aan op niveau „CONFIDENTIEL UE/EU CONFIDENTIAL” gemachtigde personen specifieke en beperkte machtiging verlenen voor toegang tot bepaalde informatie, tot het niveau „SECRET UE/EU SECRET”, indien deze personen uit hoofde van hun taken of verplichtingen in een specifiek geval kennis moeten nemen van informatie van een hoger Europol-rubriceringsniveau, of

b)

indien dat in het belang van Europol is, nadat hij de nationale bevoegde instanties heeft geïnformeerd en mits deze niet binnen drie maanden reageren, in afwachting van het resultaat van het onderzoek waarnaar in lid 2 wordt verwezen, een tijdelijk machtiging verlenen voor toegang tot gerubriceerde informatie voor een periode van hoogstens zes maanden. Indien een tijdelijke machtiging voor toegang wordt verleend, deelt de beveiligingscoördinator dat aan de bevoegde nationale instanties mee. Deze tijdelijke machtiging geeft geen toegang tot informatie die als „SECRET UE/EU SECRET” of hoger is gerubriceerd.

4.   Een dergelijke machtiging wordt niet verleend indien een lidstaat bij het verschaffen van de betreffende informatie heeft gespecificeerd dat de in lid 3 bedoelde bevoegdheid van de beveiligingscoördinator niet wordt uitgeoefend met betrekking tot die informatie.

Artikel 14

Derde partijen

Wanneer Europol met derde partijen een overeenkomst ter bescherming van geheime informatie sluit, dan wel overeenkomstig artikel 22, lid 4, en artikel 23, lid 7, van het Europol-besluit een overeenkomst sluit, houdt Europol rekening met de beginselen van deze regeling en van het beveiligingshandboek, welke dienovereenkomstig moeten worden toegepast op informatie die met deze derde partijen wordt uitgewisseld.

HOOFDSTUK IV

SLOTBEPALINGEN

Artikel 15

Inwerkingtreding

Voorstellen betreffende wijzigingen van deze regeling worden door de raad van bestuur in overweging genomen met het oog op de aanneming ervan door de Raad overeenkomstig de procedure van artikel 40, lid 1, van het Europol-besluit.

Artikel 16

Herziening van de regeling

Deze regeling treedt in werking op 1 januari 2010.

---

(1)  PB L 121 van 15.5.2009, blz. 37.

---

---