Bijlage I

Deze voorschriften bevatten de grondbeginselen en minimumnormen inzake veiligheid voor de bescherming van vertrouwelijke informatie die door het Europees Parlement in al zijn standplaatsen en door alle ontvangers van gerubriceerde informatie en ‘andere vertrouwelijke informatie’ moeten worden in acht genomen en/of nageleefd, zodat de veiligheid wordt gegarandeerd en alle betrokkenen er zeker van kunnen zijn dat er een gemeenschappelijke norm voor de bescherming geldt. Deze voorschriften worden aangevuld met de in bijlage II vervatte veiligheidsmededelingen en met andere bepalingen betreffende de verwerking van vertrouwelijke informatie door parlementaire commissies en andere parlementaire organen/ambtsdragers.

Het veiligheidsbeleid van het Europees Parlement maakt integraal onderdeel uit van zijn algemeen beleid inzake intern beheer en is dus gebaseerd op de beginselen van dat algemeen beleid. Deze beginselen zijn: wettigheid, transparantie, verantwoordingsplicht, subsidiariteit en proportionaliteit.

Wettigheid houdt in dat de uitoefening van veiligheidsfuncties strikt binnen het geldende rechtskader moeten worden uitgeoefend en dat de toepasselijke regelgeving moet worden nageleefd. Voorts moeten de verantwoordelijkheden op veiligheidsgebied gebaseerd zijn op adequate rechtsvoorschriften. Het Statuut is volledig van toepassing, in het bijzonder artikel 17 inzake de verplichting van de personeelsleden om zich te onthouden van het niet-geautoriseerde openbaar maken van informatie die in dienst is ontvangen, en titel VI inzake tuchtmaatregelen. Ten slotte worden veiligheidsinbreuken die onder de verantwoordelijkheid van het Europees Parlement vallen, behandeld op een wijze die strookt met zijn Reglement en zijn beleid inzake tuchtmaatregelen.

Transparantie houdt in dat alle veiligheidsvoorschriften en -bepalingen duidelijk moeten zijn, dat er een evenwicht moet bestaan tussen de verschillende diensten en de verschillende gebieden (fysieke veiligheid in verhouding tot de bescherming van gegevens, enz.) en dat een coherent en gestructureerd beleid inzake veiligheidsbewustzijn moet worden gevoerd. Voorts zijn duidelijke schriftelijke richtsnoeren nodig voor de uitvoering van de veiligheidsmaatregelen.

Verantwoordingsplicht houdt in dat de verantwoordelijkheden op het gebied van de veiligheid duidelijk moeten worden vastgesteld. Voorts houdt dit beginsel in dat regelmatig moet worden nagegaan of deze verantwoordelijkheden correct zijn uitgeoefend.

Subsidiariteit betekent dat de veiligheid op het laagst mogelijke niveau moet worden georganiseerd en zo dicht mogelijk bij de Directoraten-generaal en de diensten van het Europees Parlement. Proportionaliteit houdt in dat de beveiligingsactiviteiten strikt worden beperkt tot hetgeen absoluut noodzakelijk is en dat de veiligheidsmaatregelen in verhouding moeten staan tot de te beschermen belangen en tot de feitelijke of mogelijke bedreiging van deze belangen, zodat deze belangen op een zodanige wijze kunnen worden beschermd dat zo weinig mogelijk ontwrichting wordt veroorzaakt.

De fundamenten voor een goede gegevensbeveiliging zijn:

Het Europees Parlement zorgt ervoor dat gemeenschappelijke minimumnormen inzake veiligheid in acht worden genomen door alle ontvangers van gerubriceerde informatie, zowel in de instelling als onder haar bevoegdheid vallend, namelijk alle diensten en contractanten, zodat deze informatie kan worden doorgegeven in het vertrouwen dat zij met dezelfde zorg zal worden behandeld. Deze minimumnormen omvatten criteria voor de veiligheidsmachtiging van ambtenaren van het Europees Parlement en andere parlementaire medewerkers die in dienst van een fractie zijn, en procedures voor de bescherming van vertrouwelijke informatie.

Het Europees Parlement verleent derden alleen toegang tot de bedoelde informatie als zij garanderen dat deze informatie wordt behandeld in overeenstemming met voorschriften die minstens volstrekt gelijkwaardig aan deze gemeenschappelijke minimumnormen zijn.

Dergelijke gemeenschappelijke minimumnormen moeten ook worden toegepast, wanneer het Europees Parlement uit hoofde van een opdracht of een subsidieovereenkomst taken aan industriële of andere entiteiten toekent, waarbij vertrouwelijke informatie in het geding is.

Fysieke veiligheid houdt in: de toepassing van fysieke en technische beschermingsmaatregelen om niet-geautoriseerde toegang tot gerubriceerde informatie te voorkomen.

Er worden periodieke interne inspecties van de maatregelen voor de beveiliging van gerubriceerde informatie uitgevoerd door het directoraat Veiligheid en risicobeoordeling van het Europees Parlement, dat de veiligheidsautoriteiten van de Raad of de Commissie om bijstand kan verzoeken.

De veiligheidsautoriteiten en de bevoegde diensten van de instellingen van de Unie kunnen in het kader van een onderling overeengekomen proces op initiatief van een van de partijen de maatregelen voor de beveiliging van gerubriceerde informatie die uit hoofde van de relevante interinstitutionele akkoorden wordt uitgewisseld, aan collegiale toetsingen onderwerpen.

De CIU onderzoekt uiterlijk op de 25ste verjaardag van het opstellen van een document, de vertrouwelijke informatie in haar register en verzoekt de opsteller om toestemming voor derubricering of demarkering van dat document. Documenten die niet bij het eerste onderzoek zijn gederubriceerd of gedemarkeerd, worden op gezette tijden, maar ten minste om de vijf jaar, opnieuw onderzocht. Naast de documenten die zich daadwerkelijk in de beveiligde archieven in de beveiligde zone bevinden en naar behoren zijn gerubriceerd, kan het demarkeringsproces ook betrekking hebben op andere vertrouwelijke informatie die bij het parlementair orgaan/ambt bewaard wordt dan wel in de dienst die de historische archieven van het Parlement beheert.

Het besluit tot derubricering of demarkering van een document wordt als algemene regel alleen door de opsteller genomen of bij wijze van uitzondering in samenwerking met het parlementair orgaan/ambt dat houder van de betrokken informatie is, voordat de in het document vervatte informatie wordt overgedragen aan de dienst die de historische archieven van het Parlement beheert. Derubricering of demarkering van gerubriceerde informatie mag alleen met voorafgaande schriftelijke toestemming van de opsteller plaatsvinden. In het geval van ‘andere vertrouwelijke informatie’beslist het secretariaat van het parlementaire orgaan dat/de parlementaire ambtsdrager die houder van de betrokken informatie is, in samenwerking met de opsteller of het document kan worden gedemarkeerd.

De CIU is er namens de opsteller verantwoordelijk voor dat de geadresseerden van het document van de wijziging in de rubricering of markering op de hoogte worden gebracht, en deze geadresseerden zijn er op hun beurt verantwoordelijk voor dat de daaropvolgende geadresseerden, aan wie zij het document hebben toegezonden of voor wie zij het gekopieerd hebben, van de wijziging op de hoogte worden gebracht.

Derubricering heeft geen gevolgen voor eventuele beveiligingsindicatoren of markeringen die op het document zichtbaar zijn.

In geval van derubricering wordt de oorspronkelijke rubricering boven- en onderaan elke pagina doorgehaald. De eerste pagina (schutblad) van het document wordt afgestempeld en de referentie van de CIU wordt erop aangebracht. In geval van demarkering wordt de oorspronkelijke markering bovenaan elke pagina doorgehaald.

De tekst van het gederubriceerde of gedemarkeerde document wordt gehecht aan de elektronische fiche of het equivalente systeem waar het is geregistreerd.

In het geval van documenten die vallen onder de uitzondering betreffende de persoonlijke levenssfeer en de integriteit van het individu, of de uitzondering betreffende de commerciële belangen van natuurlijke en rechtspersonen, en in het geval van gevoelige documenten geldt artikel 2 van Verordening (EEG, Euratom) nr. 354/83 van de Raad.

Naast het in de punten 10.1 tot en met 10.7 bepaalde gelden de volgende regels:

Om toegang te krijgen tot als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’ of op een gelijkwaardig niveau gerubriceerde informatie, moeten de leden van het Europees Parlement gemachtigd zijn hetzij volgens de in de punten 11.3 en 11.4 van deze bijlage bedoelde procedure, hetzij op basis van een plechtige verklaring inzake niet-openbaarmaking, als bedoeld in artikel 3, lid 4, van dit besluit.

Om toegang te krijgen tot als ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau gerubriceerde informatie, moeten de leden van het Europees Parlement gemachtigd zijn volgens de in de punten 11.3 en 11.14 bedoelde procedure.

Machtiging wordt alleen verleend aan leden van het Europees Parlement die een veiligheidsonderzoek door de bevoegde nationale instanties van de lidstaten hebben ondergaan in overeenstemming met de in de punten 11.9 tot en met 11.14 bedoelde procedure. De Voorzitter is verantwoordelijk voor het verlenen van machtiging aan de leden.

De Voorzitter kan een schriftelijke machtiging verlenen na verkrijging van het advies van de bevoegde nationale instanties van de lidstaten, dat gebaseerd is op het veiligheidsonderzoek dat overeenkomstig de punten 11.8 tot en met 11.13 is uitgevoerd.

Het directoraat Veiligheid en risicobeoordeling van het Europees Parlement houdt een bijgewerkte lijst bij van alle leden van het Europees Parlement aan wie een machtiging is verleend, inclusief een voorlopige machtiging in de zin van punt 11.15.

De machtiging wordt verleend voor een periode van vijf jaar of voor de duur van de taken waarvoor de machtiging verleend is, als die periode korter is. Zij kan worden verlengd volgens de in punt 11.4 bedoelde procedure.

Een machtiging wordt door de Voorzitter ingetrokken, als hij van mening is dat er voor de intrekking gegronde redenen zijn. Van een besluit tot intrekking van een machtiging wordt kennis gegeven aan het lid van het Europees Parlement in kwestie, dat kan verzoeken door de Voorzitter te worden gehoord voordat de intrekking van kracht wordt, en aan de bevoegde nationale instantie.

Een veiligheidsonderzoek wordt uitgevoerd met de medewerking van het lid van het Europees Parlement in kwestie en op verzoek van de Voorzitter. De nationale instantie van de lidstaat waarvan het betrokken lid onderdaan is, is bevoegd om het onderzoek uit te voeren.

Als onderdeel van het veiligheidsonderzoek moet het lid van het Europees Parlement in kwestie een formulier met persoonlijke gegevens invullen.

De Voorzitter specificeert in zijn verzoek aan de bevoegde nationale instantie het niveau van de gerubriceerde informatie waartoe het lid in kwestie toegang moet krijgen, zodat zij het veiligheidsonderzoek kan uitvoeren.

Het gehele veiligheidsonderzoek dat door de bevoegde nationale instantie wordt uitgevoerd, samen met het verkregen resultaat, moet voldoen aan de ter zake vigerende voorschriften in de lidstaat in kwestie, inclusief de regels inzake beroep.

Als de bevoegde nationale instantie een positief advies uitbrengt, mag de Voorzitter het lid van het Europees Parlement in kwestie de machtiging verlenen.

Een negatief advies van de bevoegde nationale instantie wordt ter kennis gebracht van het lid van het Europees Parlement in kwestie, dat mag vragen te worden gehoord door de Voorzitter. Als de Voorzitter het nodig acht, kan hij de bevoegde nationale instantie om een nadere toelichting verzoeken. Indien het negatief advies wordt bevestigd, wordt geen machtiging verleend.

Alle leden van het Europees Parlement aan wie machtiging wordt verleend als bedoeld in punt 11.3, ontvangen op het tijdstip dat de machtiging wordt verleend en vervolgens met regelmatige tussenpozen, alle noodzakelijke richtsnoeren over de bescherming van gerubriceerde informatie en de wijze waarop deze bescherming kan worden gewaarborgd. Die leden ondertekenen een verklaring waarin zij de ontvangst van deze richtsnoeren bevestigen.

In uitzonderlijke omstandigheden mag de Voorzitter, nadat hij de bevoegde nationale instantie heeft geïnformeerd en mits die instantie niet binnen een maand heeft gereageerd, aan een lid van het Europees Parlement een voorlopige machtiging voor een periode van hoogstens zes maanden verlenen, in afwachting van het resultaat van het onderzoek als bedoeld in punt 11.11. De voorlopige machtiging die aldus wordt verleend, geeft geen toegang tot informatie die als ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd.

Alleen ambtenaren van het Europees Parlement en andere parlementaire medewerkers in dienst van een fractie die wegens hun functie en de eisen van hun dienst kennis moeten nemen of gebruik moeten maken van gerubriceerde informatie, krijgen toegang tot die informatie.

Om toegang te krijgen tot informatie die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, moeten de ambtenaren van het Europees Parlement en andere parlementaire medewerkers die in dienst van een fractie zijn, gemachtigd zijn volgens de in de punten 12.3 en 12.4 bedoelde procedure.

Machtiging wordt alleen verleend aan de in punt 12.1 genoemde personen die een veiligheidsonderzoek door de bevoegde nationale instanties van de lidstaten hebben ondergaan in overeenstemming met de in de punten 12.9 tot en met 12.14 bedoelde procedure. De secretaris-generaal is verantwoordelijk voor het verlenen van machtiging aan ambtenaren van het Europees Parlement en andere parlementaire medewerkers die in dienst van een fractie zijn.

De secretaris-generaal kan een schriftelijke machtiging verlenen na verkrijging van het advies van de bevoegde nationale instanties van de lidstaten, dat gebaseerd is op het veiligheidsonderzoek dat overeenkomstig de punten 12.8 tot en met 12.13 is uitgevoerd.

Het directoraat Veiligheid en risicobeoordeling van het Europees Parlement houdt een bijgewerkte lijst bij van alle posten waarvoor een veiligheidsmachtiging vereist is, zoals aangegeven door de betrokken diensten van het Europees Parlement, alsmede een lijst van alle personen aan wie een machtiging, inclusief een tijdelijke machtiging als bedoeld in punt 12.15, is verleend.

De machtiging wordt verleend voor een periode van vijf jaar of voor de duur van de taken waarvoor de machtiging verleend is, als die periode korter is. Zij kan worden verlengd volgens de in punt 12.4 bedoelde procedure.

Een machtiging wordt door de secretaris-generaal ingetrokken, als hij van mening is dat voor de intrekking gegronde redenen zijn. Van een besluit tot intrekking van een machtiging wordt kennis gegeven aan de betreffende ambtenaar van het Europees Parlement of aan de betreffende parlementaire medewerker in dienst van een fractie, die kan verzoeken om door de secretaris-generaal te worden gehoord voordat de intrekking van kracht wordt, en aan de bevoegde nationale instantie.

Een veiligheidsonderzoek wordt uitgevoerd met de medewerking van de betrokken ambtenaar van het Europees Parlement of andere parlementaire medewerker in dienst van een fractie en op verzoek van de secretaris-generaal. De nationale instantie van de lidstaat waarvan de betrokkene onderdaan is, is bevoegd om het onderzoek uit te voeren. Als de nationale wet- en regelgeving dit toestaan, mogen de bevoegde nationale instanties onderzoek uitvoeren naar niet-onderdanen die toegang moeten krijgen tot informatie die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ is gerubriceerd.

Als onderdeel van het veiligheidsonderzoek moet de betreffende ambtenaar van het Europees Parlement of andere parlementaire medewerker die in dienst van een fractie is, een formulier met persoonlijke gegevens invullen.

De secretaris-generaal specificeert in zijn/haar verzoek aan de bevoegde nationale instantie het niveau van de gerubriceerde informatie waartoe de betrokken ambtenaar van het Europees Parlement of andere parlementaire medewerker in dienst van een fractie toegang moet krijgen, zodat zij het veiligheidsonderzoek kan uitvoeren en hun advies kan geven over het machtigingsniveau dat voor de persoon in kwestie geschikt is.

Het gehele veiligheidsonderzoek dat door de bevoegde nationale instantie wordt uitgevoerd, samen met het verkregen resultaat, moet voldoen aan de ter zake vigerende voorschriften in de lidstaat in kwestie, inclusief de regels inzake beroep.

Als de bevoegde nationale instantie van de lidstaat een positief advies uitbrengt, mag de secretaris-generaal de betrokken ambtenaar van het Europees Parlement of andere parlementaire medewerker in dienst van een fractie de machtiging verlenen.

Een negatief advies van de bevoegde nationale instantie wordt ter kennis gebracht van de betreffende ambtenaar van het Europees Parlement of andere parlementaire medewerker in dienst van een fractie, die mag vragen te worden gehoord door de secretaris-generaal. Als de secretaris-generaal het nodig acht, kan hij de bevoegde nationale instantie om een nadere toelichting verzoeken. Indien het negatief advies wordt bevestigd, wordt geen machtiging verleend.

Alle ambtenaren van het Europees Parlement en andere parlementaire medewerkers in dienst van een fractie aan wie machtiging wordt verleend in de zin van de punten 12.4 en 12.5, ontvangen op het tijdstip dat de machtiging wordt verleend en vervolgens met regelmatige tussenpozen, alle noodzakelijke richtsnoeren betreffende de bescherming van gerubriceerde informatie en de wijze waarop deze bescherming kan worden gewaarborgd. Die ambtenaren en medewerkers ondertekenen een verklaring waarin zij de ontvangst van deze richtsnoeren bevestigen en zich ertoe verplichten deze op te volgen.

In uitzonderlijke omstandigheden mag de secretaris-generaal, nadat hij de nationale bevoegde instantie heeft geïnformeerd en mits deze niet binnen een maand heeft gereageerd, aan een ambtenaar van het Parlement of andere parlementaire medewerker die in dienst van een fractie is, een voorlopige machtiging verlenen voor een periode van hoogstens zes maanden, in afwachting van het resultaat van het onderzoek als bedoeld in punt 12.11. De voorlopige machtiging die aldus wordt verleend, geeft geen toegang tot informatie die als ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd.