Brief regering : Verdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk Zweden inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Stockholm, 18 januari 2024

A/ Nr. 1
BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Ter griffie van de Eerste en van de Tweede Kamer der Staten-Generaal ontvangen op
15 november 2024.

De wens dat het verdrag aan de uitdrukkelijke goedkeuring van de Staten-Generaal wordt
onderworpen kan door of namens één van de Kamers of door ten minste vijftien leden
van de Eerste Kamer dan wel dertig leden van de Tweede Kamer te kennen worden gegeven
uiterlijk op 15 december 2024.

Aan de Voorzitters van de Eerste en van Tweede Kamer der Staten-Generaal

Den Haag, 11 november 2024

Overeenkomstig het bepaalde in artikel 2, eerste lid, en artikel 5, eerste lid, van
de Rijkswet goedkeuring en bekendmaking verdragen, de Raad van State gehoord, heb
ik de eer u hierbij ter stilzwijgende goedkeuring over te leggen het op 18 januari
2024 te Stockholm tot stand gekomen Verdrag tussen het Koninkrijk der Nederlanden
en het Koninkrijk Zweden inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde
gegevens (Trb. 2024, nr. 25).

Een toelichtende nota bij dit verdrag treft u eveneens hierbij aan.

De goedkeuring wordt voor het Europese deel en het Caribische deel van Nederland gevraagd.

De Minister van Buitenlandse Zaken,
C.C.J. Veldkamp

TOELICHTENDE NOTA

Algemeen

Door middel van dit Verdrag verzekeren Nederland en Zweden zich ervan dat nationale
gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar
niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van nationale
gerubriceerde gegevens valt daaronder tevens de strafbaarstelling in het geval van
compromittering van nationale gerubriceerde gegevens.

Het Verdrag maakt de uitwisseling van nationale gerubriceerde gegevens mogelijk, maar
verplicht beide landen daar niet toe. Het is telkens de eigenstandige afweging van
de respectieve overheden om nationale gerubriceerde gegevens al dan niet uit te wisselen.
Deze uitwisseling kan plaatsvinden tussen overheden onderling, of tussen overheid
en bedrijfsleven, wanneer de overheid een gerubriceerde opdracht verleent aan een
bedrijf in het andere land. Dit Verdrag biedt Nederlandse bedrijven daarmee de mogelijkheid
om opdrachten voor Zweden uit te voeren waarvoor toegang tot Zweedse gerubriceerde
gegevens nodig is en vice versa.

Vanwege de nauwe banden tussen Nederland en Zweden biedt dit Verdrag waarborgen voor
samenwerking in het geval dat nationale gerubriceerde gegevens moeten worden uitgewisseld.
Dit is onder andere aan de orde op militair gebied.

Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen
informatie uitgewisseld over de respectieve nationale wet- en regelgeving voor de
bescherming van nationale gerubriceerde gegevens en de implementatie daarvan. Vervolgens
is op basis daarvan de tekst van het Verdrag opgesteld, besproken en afgerond, die
aansluit bij de wet- en regelgeving en de uitvoeringspraktijk in de beide landen.

Artikelsgewijze toelichting

Artikel 1 Doel en reikwijdte

Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden
uitgewisseld tussen Nederland en Zweden te waarborgen. Het Verdrag regelt dat de informatie
die onderling onder het Verdrag wordt uitgewisseld in beide landen een vergelijkbaar
en passend niveau van beveiliging krijgt. In het Verdrag zijn de procedures en regelingen
voor de beveiliging vastgelegd.

Artikel 2 Begripsomschrijvingen

Artikel 2 bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen
overigens gebruikelijke, begrippen.

Artikel 3 Bevoegde beveiligingsautoriteiten

De verantwoordelijke autoriteit voor de implementatie en uitvoering van het Verdrag
wordt in het Verdrag omschreven als de Competent Security Authority (CSA, zie ook
artikel 2 onder c van het Verdrag). Deze rol is in Nederland belegd bij de Algemene
Inlichtingen- en Veiligheidsdienst (AIVD).

De CSA is het eerste aanspreekpunt voor bedrijven en overheden uit beide landen over
de uitvoering van het Verdrag, ziet toe op de naleving van het Verdrag bij de eigen
overheid en de bedrijven die onder haar jurisdictie vallen en draagt zorg voor de
uitvoering van onderzoek ten behoeve van veiligheidsmachtigingen voor personen en/of
bedrijven.

De CSA is bevoegd bepaalde verantwoordelijkheden te delegeren aan een zogenoemde delegated
Competent Security Authority. Voor Nederland is dit de beveiligingsautoriteit (BA)
van het ministerie van Defensie. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD)/Bureau
Industrieveiligheid (BIV) heeft hierin een aantal taken in de richting van betrokken
bedrijven teneinde uitvoering te geven aan bepaalde verplichtingen, zoals het afgeven
van veiligheidsmachtigingen in het militaire domein.

Artikel 4 Rubriceringsniveaus

In het eerste lid van dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus
van de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus
die Nederland en Zweden volgens hun wet- en regelgeving hanteren. Gerubriceerde informatie
die Nederland ontvangt van Zweden zal worden beveiligd volgens de maatregelen zoals
die in Nederland gelden voor het equivalente nationale rubriceringsniveau. Vice versa
geldt hetzelfde.

Door gerubriceerde informatie afkomstig van de andere partij ook te voorzien van de
equivalente nationale rubricering (de «dubbele markering»), wordt de herkenbaarheid
vergroot en de naleving van de vereiste beveiligingsmaatregelen bevorderd. Deze waarborg
is vastgelegd in het tweede lid van dit artikel.

Het aanbrengen van een initiële rubricering is aan de partij onder wier gezag de gerubriceerde
gegevens zijn gecreëerd. Dit brengt met zich mee, dat wijziging of verwijdering van
die rubricering tevens aan die partij is voorbehouden. Deze waarborg is opgenomen
in het derde lid.

Artikel 5 Toegang tot gerubriceerde gegevens

Dit artikel beschrijft onder welke voorwaarden toegang tot gerubriceerde informatie
verstrekt wordt. Voor toegang tot gegevens met een rubricering van Stg. CONFIDENTIEEL
en hoger, is een persoonlijke veiligheidsmachtiging vereist, aldus het eerste lid
van dit artikel. Deze screening vindt in Nederland plaats op basis van de Wet Veiligheidsonderzoeken
(Wvo). Daarnaast dient de persoon die zich toegang wenst te verschaffen tot dergelijke
gerubriceerde gegevens daarvoor geïnformeerd te zijn over de verantwoordelijkheden
ten aanzien van die toegang. Tevens moet die persoon gebonden zijn aan geheimhouding,
door middel van het ondertekenen van een geheimhoudingsverklaring of als gevolg van
een wettelijke verplichting.

Uit het tweede lid van dit artikel volgt dat een persoonlijke veiligheidsmachtiging
niet nodig is, alvorens toegang kan worden verkregen tot DEPARTEMENTAAL VERTROUWELIJKE
gegevens. Voor die toegang gelden enkel de overige vereisten als genoemd in het eerste
lid van dit artikel.

Artikel 6 Beveiligingsmaatregelen

Het eerste lid van dit artikel geeft de verplichting van Partijen weer om alle onder
de nationale wet- en regelgeving benodigde maatregelen te treffen om de veiligheid
van de onder het Verdrag uitgewisselde gegevens te kunnen waarborgen.

Het tweede en derde lid, omschrijven de verantwoordelijkheden van de verstrekkende
en ontvangende partij van gerubriceerde gegevens. Belangrijk hierbij om te vermelden
is, dat het aan de verdragsluitende partijen is om erop toe te zien dat deze verantwoordelijkheden
worden nageleefd.

Tot slot geeft het vierde lid weer op welke wijze de classificatie zal worden aangebracht
als het gaat om informatie die onder het gezag van beide partijen tot stand is gekomen.

Artikel 7 Beveiligingssamenwerking

Tijdens de onderhandelingen die hebben geleid tot het Verdrag hebben beide partijen
elkaar geïnformeerd over de wederzijdse wet- en regelgeving en bijbehorende uitvoeringspraktijk.
Het eerste lid van dit artikel voorziet in een blijvende informatie-uitwisseling tussen
partijen daaromtrent.

Dit artikel ziet verder met name op de samenwerking tussen de CSA’s met betrekking
tot de (veiligheidsonderzoeken ten behoeve van de) afgifte van veiligheidsmachtigingen
voor personen of bedrijven. Het betreft uitsluitend de samenwerking met betrekking
tot het afgeven van veiligheidsmachtigingen voor personen of bedrijven in de gevallen
waarbij uitwisseling van onder dit verdrag bedoelde gerubriceerde gegevens aan de
orde is.

Zo bepaalt het tweede lid dat de CSA’s elkaar onderling kunnen bevragen over de geldigheid
van afgegeven veiligheidsmachtigingen voor personen of bedrijven. CSA’s zullen voorts
de over en weer de in overeenstemming met nationale wet- en regelgeving afgegeven
veiligheidsmachtigingen erkennen, aldus het derde lid. Ook zullen de CSA’s elkaar
desgevraagd ondersteunen bij de uitvoering van onderzoeken ten behoeve van de afgifte
van voornoemde veiligheidsmachtigingen volgens het vierde lid. Dit kan bijvoorbeeld
door informatie te verstrekken over personen indien deze personen gedurende een deel
van de onderzoeksperiode in hun land verblijf hebben gehad. Het verstrekken van de
informatie – en meer in het algemeen enige vorm van samenwerking zoals bedoeld in
dit artikel – gebeurt uitsluitend in overeenstemming met de nationale wet- en regelgeving.
De relevante wet- en regelgeving ten behoeve van het afgeven van veiligheidsmachtigingen
voor personen in Nederland betreft de Wet op inlichtingen- en veiligheidsdiensten
2017 (Wiv 2017) en de Wet Veiligheidsonderzoeken. In Nederland is de Unit Veiligheidsonderzoeken
van de AIVD en de MIVD belast met het uitvoeren van de veiligheidsonderzoeken in het
kader van de afgifte van veiligheidsmachtigingen onder dit verdrag en binnen het civiele
en militaire domein.

Voorafgaand aan het verstrekken van informatie aan de verdragspartij – in dit geval
Zweden – in het kader van de afgifte van veiligheidsmachtigingen wordt nagegaan of
er een zodanige samenwerkingsrelatie ex artikel 88 Wiv 2017 bestaat dat de verstrekking
verantwoord kan gebeuren. Indien een daartoe geëigende samenwerkingsrelatie ontbreekt
zal geen verstrekking van informatie aan Zweden plaatsvinden.

De samenwerking met Zweden is derhalve te allen tijde onderworpen aan de nationale
wet- en regelgeving en de nadere voorwaarden die daarin aan dergelijke samenwerkingen
zijn gesteld.

In aanvulling hierop, is in het vijfde lid van dit artikel bepaald dat CSA’s elkaar
informeren over wijzigingen in afgegeven veiligheidsmachtigingen voor personen of
bedrijven die werkzaam zijn met gerubriceerde gegevens die onder dit verdrag worden
uitgewisseld.

Tevens zullen de CSA’s elkaar informeren wanneer nationale wet- en regelgeving met
betrekking tot openbare toegang tot documenten of toegang tot informatie van invloed
zijn op onder dit Verdrag uitgewisselde gerubriceerde gegevens, aldus het zesde lid.

Het zevende en laatste lid van dit artikel bepaalt dat de voertaal tussen partijen
voor wat betreft de samenwerking als omschreven in dit artikel Engels is.

Artikel 8 Gerubriceerde contracten

Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door
de overheid van de ene partij aan bedrijven die vallen onder de jurisdictie van de
andere partij. Voor Nederlandse bedrijven die mee willen dingen naar een gerubriceerde
opdracht van de Zweedse overheid zal door de Nederlandse overheid onderzoek worden
uitgevoerd ten behoeve van veiligheidsmachtigingen voor personen en bedrijven en zal
tijdens de uitoefening van de gerubriceerde opdracht bovendien periodiek toezicht
worden gehouden bij deze bedrijven. Deze procedure komt op hoofdlijnen overeen met
de gehanteerde procedures voor gerubriceerde opdrachten van internationale organisaties,
namelijk de EU, NAVO en ESA.

Het eerste lid bepaalt dat wanneer een partij of een bedrijf onder diens jurisdictie
een gerubriceerde opdracht (vanaf het niveau Stg. CONFIDENTIEEL en diens Zweedse equivalent)
wil gunnen aan een bedrijf werkzaam onder de jurisdictie van de andere partij, deze
partij/ dit bedrijf eerst een schriftelijke bevestiging dient te verkrijgen van de
andere partij dat het bedrijf aan wie zij/ hij de opdracht wil gunnen over de benodigde
veiligheidsmachtigingen (voor bedrijfslocatie en voor personeel) beschikt. Als het
bedrijf niet over deze veiligheidsmachtigingen beschikt, moet hij deze aanvragen bij
de CSA. In Nederland geldt, binnen het militaire domein, het vereiste van een veiligheidsmachtiging
voor bedrijfslocatie tevens voor gerubriceerde opdrachten op niveau DEPARTEMENTAAL
VERTROUWELIJK. Dit verklaart de toevoeging van de laatste zin in het eerste lid.

Het tweede lid kent de CSA de verantwoordelijkheid toe om toezicht te houden op bedrijven
die een gerubriceerd contract aangaan.

Het derde lid stelt eisen aan de gerubriceerde contracten, teneinde te bewerkstelligen
dat beveiligingseisen in de praktijk voor alle betrokken partijen kenbaar zijn en
juridisch kunnen worden afgedwongen. De CSA’s dienen een kopie van de beveiligingseisen
zoals vastgelegd in het gerubriceerde contract te ontvangen teneinde toezicht te kunnen
houden.

Het vijfde lid van dit artikel bevat een verwijzing naar artikel 11 van het Verdrag,
dat specifiek ingaat op de procedures voor wanneer een persoon een bedrijf of overheidslocatie
wenst te bezoeken, waarbij toegang tot nationale gerubriceerde gegevens nodig is.

Het kan in de praktijk voor komen dat bedrijven een (deel van een) gerubriceerde opdracht
uitbesteden aan een onderaannemer. Vandaar dat ook «sub-contractors» in dit artikel
worden genoemd.

Artikel 9 Overbrenging van gerubriceerde gegevens

Het eerste lid van dit artikel bepaalt dat de uitwisseling van nationale gerubriceerde
gegevens plaatsvindt in overeenstemming met de nationale wet- en regelgeving van de
verstrekkende partij of op een wijze die tussen de CSA’s wordt afgestemd.

Voor zover het gaat om elektronische verzending van nationale gerubriceerde gegevens,
geldt het vereiste van cryptografische middelen. De exacte procedure hiervoor zal
tussen CSA’s moeten worden afgestemd, aldus het tweede lid.

Artikel 10 Reproductie, vertaling en vernietiging van gerubriceerde gegevens

Dit artikel bevat een aantal specifieke bepalingen omtrent de reproductie, vertaling
en vernietiging van gerubriceerde gegevens, met specifieke aandacht voor gegevens
met de hoogste rubricering en voor noodsituaties. Deze bepalingen zijn erop gericht
te waarborgen dat de partij onder wier gezag de betreffende gerubriceerde gegevens
gecreëerd zijn, zoveel als mogelijk controle houdt over de betreffende informatie.

Artikel 11 Bezoeken

Dit artikel omschrijft de procedures voor wanneer een persoon een bedrijf of overheidslocatie
wenst te bezoeken, waarbij toegang tot nationale gerubriceerde gegevens nodig is.

Dit kan bijvoorbeeld het geval zijn, wanneer een medewerker van een Nederlands bedrijf
in de uitvoering van een gerubriceerde opdracht de Zweedse overheid of een Zweeds
bedrijf wil bezoeken waarbij toegang tot (in dit geval Zweedse) nationale gerubriceerde
gegevens nodig is. In een dusdanig geval, wordt via de in dit artikel beschreven procedure
bij de Nederlandse CSA nagegaan of de betrokkene op dat moment over een geldige veiligheidsmachtiging
beschikt en of aan de overige voorwaarden in dit artikel wordt voldaan. Dit wordt
vervolgens gemeld aan de Zweedse CSA voorafgaand aan het bezoek en geldt als voorwaarde
voor toegang tot de nationale (in dit geval Zweedse) gerubriceerde gegevens. Deze
procedure geldt tevens vice versa.

Artikel 12 Beveiligingsincident

Dit artikel beschrijft de te doorlopen procedure in het geval van (vermoedelijke)
beveiligingsincidenten (zie hiertoe het eerste lid). Hier is een rol weggelegd voor
de CSA’s.

De CSA’s zullen elkaar onmiddellijk informeren over (vermoedelijke) beveiligingsincidenten
waarbij gerubriceerde gegevens van de andere partij betrokken zijn. Dit staat omschreven
in het eerste lid.

De CSA van het land onder wiens gezag de gerubriceerde gegevens zijn gecreëerd, kan
assisteren in onderzoek naar het (vermoedelijke) beveiligingsincident, aldus het tweede
lid.

Het derde lid bepaalt vervolgens dat de CSA van het land waar het beveiligingsincident
heeft plaatsgevonden, verantwoordelijk is voor het nemen van mitigerende maatregelen,
alsmede maatregelen teneinde herhaling te voorkomen. Deze CSA informeert de CSA van
het land waar de gerubriceerde gegevens vandaan komen over deze maatregelen.

Artikel 15 Uitvoeringsregelingen

Volgens dit artikel zijn CSA’s bevoegd om, indien daar aanleiding toe bestaat, nadere
afspraken te maken ter uitvoering van het Verdrag. In dit geval kan dat gebeuren voor
nadere afspraken die benodigd zijn bijvoorbeeld in het militaire domein. Vanwege het
specifieke beleid dat het Ministerie van Defensie hanteert ten aanzien van beveiliging
van gerubriceerde gegevens in het militaire domein, zou het voor het Ministerie van
Defensie noodzakelijk kunnen zijn dat, indien er defensie of -industrie gerelateerde
uitwisseling van gerubriceerde informatie voortvloeit uit dit Verdrag, er nadere afspraken
gemaakt worden. Hiervoor, alsmede voor de implementatie van die afspraken, is het
Ministerie van Defensie als eerste aanspreekpunt verantwoordelijk.

Artikel 16 Slotbepalingen

Dit artikel bevat de gebruikelijke slotbepalingen.

Uit het tweede lid van dit artikel volgt dat op de datum dat het Verdrag in werking
treedt, de op 29 oktober 1984 tot stand gekomen Overeenkomst tussen het Koninkrijk
der Nederlanden en het Koninkrijk Zweden inzake de wederzijdse bescherming van geclassificeerde
militaire gegevens (Trb. 1984, 137) zal ophouden van kracht te zijn.

In het zevende lid is een bepaling opgenomen voor het geval het Verdrag beëindigd
wordt. De nationale gerubriceerde gegevens die op het moment van beëindiging onder
de reikwijdte van het Verdrag vallen, zullen de bescherming van het Verdrag behouden
zolang ze een onder het Verdrag verkregen nationale rubricering behouden.

Bijlage

In de Bijlage staan de CSA’s, als verantwoordelijke autoriteiten, voor Nederland en
Zweden opgenomen.

In Zweden zijn de taken van de CSA die uit dit Verdrag voortvloeien verdeeld over
drie autoriteiten. Zo is de Military Intelligence and Security Service, Swedish Armed
Forces (Militära underrättelse- och säkerhetstjänsten, Försvarsmakten) verantwoordelijk
voor hetgeen onder het militaire domain valt. De Swedish Security Police (Säkerhetspolisen)
is de verantwoordelijke autoriteit voor het civiele domein. Tot slot is de Swedish
Defence Materiel Administration (Försvarets Materielverk) de verantwoordelijke autoriteit
ten aanzien van de implementatie en de uitvoering van de verplichtingen uit dit Verdrag
die betrekking hebben op gerubriceerde contracten. Deze autoriteiten werken nauw samen
met elkaar. In de praktijk betekent dit onder andere dat indien de Nederlandse CSA
een verzoek indient bij de onjuiste Zweedse autoriteit de desbetreffende autoriteit
het verzoek uit eigen beweging naar de juiste autoriteit zal doorzenden.

De Bijlage vormt een geïntegreerd onderdeel van het Verdrag en is van uitvoerende
aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge artikel 7, onderdeel
f van de Rijkswet goedkeuring en bekendmaking verdragen, geen parlementaire goedkeuring,
tenzij de Staten-Generaal zich thans het recht tot goedkeuring terzake voorbehouden.

Een ieder verbindende bepalingen

Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen
in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten
toekennen of plichten opleggen. Het gaat hierbij om artikel 4, tweede en derde lid,
artikel 8, eerste lid, artikel 9, artikel 10, artikel 11 en artikel 12, tweede lid,
in verband met de positie van bedrijven aan of door wie die gerubriceerde opdrachten
zijn verleend of waaraan men opdrachten wil gunnen.

Koninkrijkspositie

Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese
en het Caribische deel van Nederland gelden (zie ook artikel 16, tweede lid). Dit
is in lijn met de andere bilaterale beveiligingsverdragen die Nederland heeft gesloten
(bijvoorbeeld met de Republiek Polen, Trb. 2023, 18). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde
opdrachten voor de Zweedse overheid uit te voeren en maakt het tevens mogelijk om
informatie die door de Zweedse overheid wordt gedeeld met overheidsinstanties in het
Caribische deel van Nederland te delen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.J.M. Uitermark

De Minister van Buitenlandse Zaken,
C.C.J. Veldkamp

De Minister van Defensie,
R.J. Brekelmans