19.3.2016

NL

Publicatieblad van de Europese Unie

L 74/3

---

VERTALING

OVEREENKOMST

tussen de Raad van ministers van de Republiek Albanië en de Europese Unie inzake beveiligingsprocedures voor de uitwisseling en bescherming van gerubriceerde gegevens

De Raad van ministers van de Republiek Albanië, hierna „Albanië” te noemen,

en

de Europese Unie, hierna „de EU” te noemen,

hierna „de partijen” te noemen;

OVERWEGENDE dat de partijen zich beide ten doel stellen hun eigen veiligheid op alle mogelijke manieren te versterken;

OVERWEGENDE dat de partijen het erover eens zijn dat onderlinge samenwerking over beveiligingsaangelegenheden van gemeenschappelijk belang geboden is;

OVERWEGENDE dat er in dit verband een voortdurende behoefte bestaat aan uitwisseling van gerubriceerde gegevens tussen de partijen;

ONDERKENNENDE dat volledige en doeltreffende samenwerking en raadpleging inzage in en uitwisseling van gerubriceerde gegevens en aanverwant materiaal van de partijen kunnen vergen;

ZICH ERVAN BEWUST dat die inzage en uitwisseling van gerubriceerde gegevens en aanverwant materiaal vereisen dat passende beveiligingsmaatregelen worden genomen,

ZIJN ALS VOLGT OVEREENGEKOMEN:

Artikel 1

1.   Ter verwezenlijking van de doelstelling om de veiligheid van elk van beide partijen op alle mogelijke manieren te versterken, is deze overeenkomst tussen Albanië en de Europese Unie inzake beveiligingsprocedures voor de uitwisseling en bescherming van gerubriceerde gegevens (hierna „de overeenkomst” te noemen) van toepassing op gerubriceerde gegevens of gerubriceerd materiaal in welke vorm dan ook, verstrekt door of uitgewisseld tussen de partijen.

2.   Elke partij beschermt de van de andere partij ontvangen gerubriceerde gegevens tegen verlies of openbaarmaking zonder machtiging, volgens het bepaalde in deze overeenkomst en volgens de respectieve wet- en regelgeving van de partijen.

Artikel 2

In deze overeenkomst wordt onder „gerubriceerde gegevens” verstaan gegevens of materiaal in enige vorm:

a)	met betrekking waartoe door een van de partijen is bepaald dat deze/dit bescherming behoeven/behoeft tegen verlies of ongeoorloofde openbaarmaking die de belangen van Albanië of van de EU of van een of meer van haar lidstaten in meerdere of mindere mate zou kunnen schaden of benadelen, en

b)	waarop een rubriceringsmarkering is aangebracht overeenkomstig artikel 7.

Artikel 3

1.   De EU-instellingen en -entiteiten waarop deze overeenkomst van toepassing is, zijn: de Europese Raad, de Raad van de Europese Unie (hierna „de Raad”), het secretariaat-generaal van de Raad, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, de Europese Dienst voor extern optreden (hierna „de EDEO”) en de Europese Commissie. In deze overeenkomst wordt hierna naar deze instellingen en entiteiten verwezen als „de EU”.

2.   Deze EU-instellingen en -entiteiten mogen uit hoofde van deze overeenkomst ontvangen gerubriceerde informatie delen met andere EU-instellingen en -entiteiten, zulks na schriftelijke instemming van de verstrekkende partij en behoudens passende waarborgen dat de ontvangende entiteit de informatie adequaat zal beschermen.

Artikel 4

Iedere partij zorgt ervoor dat zij beschikt over passende beveiligingssystemen en -maatregelen, gebaseerd op de grondbeginselen en minimumnormen voor beveiliging die zijn vastgelegd in haar wet- of regelgeving, en die worden weerspiegeld in de overeenkomstig artikel 12 vast te stellen beveiligingsregelingen, opdat er een gelijkwaardig beschermingsniveau geldt voor gerubriceerde gegevens krachtens deze overeenkomst.

Artikel 5

Iedere partij:

a)	beschermt gerubriceerde gegevens die krachtens deze overeenkomst worden verstrekt door of uitgewisseld met de andere partij, op een beschermingsniveau dat ten minste gelijkwaardig is aan het door de verstrekkende partij toegekende beschermingsniveau;

b)

draagt er zorg voor dat de krachtens deze overeenkomst verstrekte of uitgewisselde gerubriceerde gegevens de beveiligingsrubricering behouden die door de verstrekkende partij daaraan is toegekend en niet lager worden gerubriceerd of gederubriceerd zonder voorafgaande schriftelijke toestemming van de verstrekkende partij. De ontvangende partij beschermt gerubriceerde gegevens volgens haar eigen beveiligingsvoorschriften inzake gegevens met een gelijkwaardige beveiligingsrubricering, zoals gespecificeerd in artikel 7;

c)	gebruikt de gerubriceerde gegevens niet voor andere doeleinden dan die welke door de afzender zijn vastgesteld of waarvoor de gegevens zijn verstrekt of uitgewisseld;

d)	maakt de gerubriceerde gegevens niet zonder voorafgaande schriftelijke toestemming van de verstrekkende partij openbaar aan derden;

e)	verschaft particulieren geen toegang tot dergelijke gerubriceerde gegevens, tenzij voor hen een noodzaak van kennisname geldt en zij aan een passend veiligheidsonderzoek zijn onderworpen overeenkomstig de toepasselijke wet- en regelgeving van de ontvangende partij;

f)	voorziet in een passende veiligheidscertificering voor locaties waar verstrekte gerubriceerde gegevens worden verwerkt en bewaard, en

g)	zorgt ervoor dat alle personen met toegang tot gerubriceerde gegevens op de hoogte zijn van hun verantwoordelijkheid om deze te beschermen overeenkomstig de toepasselijke wet- en regelgeving.

Artikel 6

1.   Gerubriceerde gegevens worden openbaar gemaakt of vrijgegeven overeenkomstig het beginsel van instemming door de afzender.

2.   De ontvangende partij besluit per geval tot bekendmaking of vrijgave van de gerubriceerde gegevens aan andere ontvangers dan de partijen, zulks na schriftelijke instemming van de verstrekkende partij en overeenkomstig het beginsel van instemming door de afzender.

3.   Algemene vrijgave is alleen mogelijk indien tussen de partijen procedures inzake bepaalde categorieën van gegevens zijn overeengekomen die aan hun specifieke behoeften beantwoorden.

4.   Niets in deze overeenkomst verplicht de partijen tot onderlinge vrijgave van gerubriceerde gegevens.

5.   Gerubriceerde gegevens krachtens deze overeenkomst mogen, na voorafgaande schriftelijke toestemming van de verstrekkende partij, worden verstrekt aan een aannemer of potentiële aannemer. Voorafgaand aan de vrijgave vergewist de ontvangende partij zich ervan dat de aannemer of potentiële aannemer de gegevens kan beschermen en dat hij aan een passend veiligheidsonderzoek wordt onderworpen.

Artikel 7

Met het oog op een gelijkwaardig niveau van bescherming voor door de partijen verstrekte of tussen de partijen uitgewisselde gegevens komen de beveiligingsrubriceringen als volgt overeen:

EU	Albanië
TRES SECRET UE/EU TOP SECRET	TEPËR SEKRET
SECRET UE/EU SECRET	SEKRET
CONFIDENTIEL UE/EU CONFIDENTIAL	KONFIDENCIAL
RESTREINT UE/EU RESTRICTED	I KUFIZUAR

Artikel 8

1.   De partijen dragen er boven op de noodzaak van kennisname van artikel 5, letter e), zorg voor dat personen die bij het vervullen van hun officiële werkzaamheden toegang dienen te hebben tot in het kader van deze overeenkomst verstrekte of uitgewisselde, als CONFIDENTIEL UE/EU CONFIDENTIAL of KONFIDENCIAL of hoger gerubriceerde gegevens, of wier werkzaamheden of taken hen in staat stellen daar toegang toe te krijgen, aan een gedegen veiligheidsonderzoek worden onderworpen voordat zij toegang krijgen tot dergelijke gegevens.

2.   Veiligheidsonderzoekprocedures zijn van dien aard dat kan worden bepaald of een persoon, gelet op diens loyaliteit en betrouwbaarheid, inzage kan krijgen in gerubriceerde gegevens.

Artikel 9

De partijen verlenen elkaar bijstand op het gebied van de beveiliging van gerubriceerde gegevens als bedoeld in deze overeenkomst en van beveiligingsaangelegenheden van gemeenschappelijk belang. De in artikel 12 genoemde autoriteiten overleggen met elkaar over beveiligingsaangelegenheden en leggen onderling evaluatiebezoeken af, teneinde de doeltreffendheid van de onder hun verantwoordelijkheid ressorterende en ingevolge datzelfde artikel vast te stellen beveiligingsregelingen te beoordelen.

Artikel 10

1.   In het kader van deze overeenkomst geldt het onderstaande:

a)	wat de EU betreft, wordt alle correspondentie gericht aan het hoofd postregistratie van de Raad en door hem doorgestuurd aan de lidstaten en de in artikel 3 bedoelde instellingen of entiteiten, onverminderd lid 2;

b)	wat Albanië betreft, wordt alle correspondentie via de EU-delegatie in Albanië gericht aan het Central Registry van het Classified Information Security Directorate.

2.   Bij wijze van uitzondering kan de correspondentie van een partij waartoe slechts bepaalde daartoe bevoegde ambtenaren, organen of diensten van deze partij toegang hebben, om operationele redenen gericht worden aan — en uitsluitend toegankelijk zijn voor — bepaalde daartoe bevoegde ambtenaren, organen of diensten van de andere partij, die daartoe uitdrukkelijk als ontvangers zijn aangewezen, gelet op hun bevoegdheden en volgens de noodzaak van kennisneming. Wat de EU betreft, wordt de doorzending van deze correspondentie verzorgd door respectievelijk het hoofd postregistratie van de Raad, het hoofd postregistratie van de EDEO of het hoofd postregistratie van de Europese Commissie. Wat Albanië betreft, wordt de doorzending van deze correspondentie verzorgd door het Central Registry van het Classified Information Security Directorate.

Artikel 11

Het Central Registry van het Classified Information Security Directorate, de secretaris-generaal van de Raad, het voor beveiligingsvraagstukken bevoegde lid van de Europese Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid houden toezicht op de uitvoering van deze overeenkomst.

Artikel 12

1.   Ter uitvoering van deze overeenkomst stellen de hieronder aangewezen bevoegde beveiligingsautoriteiten, die elk handelen onder de leiding van en namens hun hiërarchische meerderen, onderlinge beveiligingsregelingen in, teneinde de normen voor de wederzijdse bescherming van gerubriceerde gegevens krachtens deze overeenkomst vast te stellen:

—	enerzijds het Classified Information Security Directorate van Albanië, en

—	anderzijds i) de Dienst beveiliging van het secretariaat-generaal van de Raad; ii) Directoraat HR.DS — het Directoraat beveiliging van de Europese Commissie, en iii) het directoraat Beveiliging van de EDEO.

2.   Voordat de partijen uit hoofde van deze overeenkomst gerubriceerde gegevens aan elkaar verstrekken of met elkaar uitwisselen, dienen de in lid 1 bedoelde bevoegde beveiligingsautoriteiten te besluiten dat de ontvangende partij in staat is deze gegevens overeenkomstig de op grond van dat lid vast te stellen beveiligingsregelingen te beschermen.

Artikel 13

1.   De in artikel 12 bedoelde bevoegde autoriteit van de partijen informeert de bevoegde autoriteit van de andere partij onverwijld over elk bewezen of vermoedelijk geval van ongeoorloofde openbaarmaking of verlies van gerubriceerde gegevens die door die partij zijn verstrekt. De bevoegde autoriteit stelt een onderzoek in, zo nodig met steun van de andere partij, en brengt aan deze verslag uit over de resultaten.

2.   De in artikel 12 bedoelde autoriteiten stellen de procedures vast die in die gevallen moeten worden gevolgd.

Artikel 14

Elke partij draagt de kosten die zij ter uitvoering van deze overeenkomst heeft gemaakt.

Artikel 15

Niets in deze overeenkomst doet afbreuk aan bestaande overeenkomsten of regelingen tussen de partijen of aan overeenkomsten tussen Albanië en lidstaten van de EU. Deze overeenkomst belet de partijen niet andere overeenkomsten betreffende de verstrekking of uitwisseling van gerubriceerde gegevens als bedoeld in deze overeenkomst te sluiten, mits deze niet onverenigbaar zijn met de verplichtingen krachtens deze overeenkomst.

Artikel 16

Geschillen tussen de partijen die voortkomen uit de uitlegging of de toepassing van deze overeenkomst, worden in onderhandelingen tussen de partijen behandeld. Tijdens die onderhandelingen blijven beide partijen al hun verplichtingen uit hoofde van deze overeenkomst naleven.

Artikel 17

1.   Deze overeenkomst treedt in werking op de eerste dag van de eerste maand na die waarin de partijen elkaar hebben kennisgegeven van de voltooiing van de daartoe vereiste interne procedures.

2.   Elke partij stelt de andere partij in kennis van eventuele wijzigingen in haar wet- en regelgeving die gevolgen zouden kunnen hebben voor de bescherming van de in deze overeenkomst bedoelde gerubriceerde gegevens.

3.   Deze overeenkomst kan, op verzoek van een van beide partijen, ter overweging van mogelijke wijzigingen opnieuw in behandeling worden genomen.

4.   Wijzigingen van deze overeenkomst komen uitsluitend schriftelijk en in onderlinge overeenstemming tussen de partijen tot stand. Zij treden in werking na wederzijdse kennisgeving als bedoeld in lid 1.

Artikel 18

Deze overeenkomst kan door een van de partijen worden beëindigd middels een schriftelijke kennisgeving van beëindiging aan de andere partij. De beëindiging wordt van kracht zes maanden na de ontvangst van deze kennisgeving door de andere partij, maar is niet van invloed op verplichtingen welke reeds uit hoofde van deze overeenkomst zijn aangegaan. Inzonderheid blijven volgens deze overeenkomst verstrekte of uitgewisselde gegevens onderworpen aan bescherming volgens het bepaalde in deze overeenkomst.

TEN BLIJKE WAARVAN de ondergetekenden, daartoe naar behoren gemachtigd, hun handtekening onder deze overeenkomst hebben gesteld.

---