Bijlage VI Uitwisseling van gerubriceerde informatie met derde staten en internationale organisaties

Deze bijlage bevat bepalingen ter uitvoering van artikel 13.

Wanneer de Raad bepaalt dat het nodig is om voor een lange termijn gerubriceerde informatie uit te wisselen,

overeenkomstig artikel 13, lid 2, en deel III en IV, op basis van een aanbeveling van het Beveiligingscomité.

Wanneer ten behoeve van een EVDB-operatie gegenereerde EUCI moet worden verstrekt aan derde staten of internationale organisaties die aan die operatie deelnemen, en wanneer geen van de in punt 2 bedoelde kaders bestaat, wordt de uitwisseling van EUCI met de bijdragende derde staat of internationale organisatie overeenkomstig deel V geregeld door:

Bij het ontbreken van een kader als bedoeld in de punten 2 en 3, en wanneer het besluit wordt genomen om EUCI op een uitzonderlijke ad-hocbasis vrij te geven aan een derde staat of een internationale organisatie conform afdeling VI, wordt de betrokken derde staat of de internationale organisatie om schriftelijke verzekering verzocht om te garanderen dat deze alle vrijgegeven EUCI zal beschermen overeenkomstig de grondbeginselen en minimumnormen in dit besluit.

Informatiebeveiligingsovereenkomsten bevatten de grondbeginselen en minimumnormen voor de uitwisseling van gerubriceerde informatie tussen de Europese Unie en een derde staat of internationale organisatie.

Informatiebeveiligingsovereenkomsten bevatten ook een technische uitvoeringsregeling, waarover overeenstemming moet worden bereikt tussen de bevoegde beveiligingsinstanties van de relevante EU-instellingen en de bevoegde beveiligingsinstantie van de derde staat of de internationale organisatie in kwestie. Deze regeling is afgestemd op het niveau van bescherming dat wordt geboden door de beveiligingsvoorschriften, -structuren en -procedures in de derde staat of binnen de internationale organisatie in kwestie. Ze worden goedgekeurd door het Beveiligingscomité.

Uit hoofde van een informatiebeveiligingsovereenkomst wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de overeenkomst of de overeenkomstige technische uitvoeringsregeling.

Wanneer de Raad een informatiebeveiligingsovereenkomst sluit, wordt er bij elke partij een register aangewezen als het belangrijkste punt langs waar gerubriceerde informatie binnenkomt of uitgaat.

Ter beoordeling van de doeltreffendheid van de beveiligingsvoorschriften, -structuren en -procedures in de derde staat of binnen de internationale organisatie in kwestie, worden in overleg met de betrokken derde staat of internationale organisatie evaluatiebezoeken afgelegd. Zulke evaluatiebezoeken verlopen overeenkomstig de bepalingen in kwestie van bijlage III en houden een evaluatie in van:

Het team dat namens de Europese Unie een evaluatiebezoek aflegt, beoordeelt of de beveiligingsvoorschriften en -procedures in de derde staat of binnen de internationale organisatie in kwestie toereikend zijn voor de bescherming van EUCI op een gegeven niveau.

De bevindingen van die bezoeken worden vermeld in een verslag op basis waarvan het Beveiligingscomité het maximumniveau bepaalt van de EUCI die met de derde partij in kwestie op papier of in voorkomend geval in elektronische vorm mag worden uitgewisseld, alsook de specifieke voorwaarden voor uitwisseling met deze partij.

Alles zal in het werk worden gesteld om een volledig beveiligingsevaluatiebezoek af te leggen aan de derde staat of internationale organisatie in kwestie, voordat het Beveiligingscomité de uitvoeringsregeling goedkeurt, teneinde de aard en de doeltreffendheid van het bestaande beveiligingssysteem te bepalen. Mocht dit niet mogelijk zijn, dan krijgt het Beveiligingscomité van de dienst Beveiliging van het SGR een zo volledig mogelijk verslag, op basis van de informatie waarover deze beschikt, waarin het Beveiligingscomité wordt geïnformeerd over de toepasselijke beveiligingsvoorschriften en over de manier waarop de beveiliging in de derde staat of binnen de internationale organisatie in kwestie is georganiseerd.

Het verslag over het evaluatiebezoek of, bij gebreke daaraan, het in punt 12 bedoelde verslag wordt toegezonden aan het Beveiligingscomité, dat het bevredigend moet achten alvorens er daadwerkelijk EUCI aan de derde staat of de internationale organisatie in kwestie wordt vrijgegeven.

De bevoegde beveiligingsinstanties van de instellingen en organen van de Unie delen de derde staat of internationale organisatie mede vanaf welke datum de Unie bij machte is om uit hoofde van de overeenkomst EUCI vrij te geven, alsook tot welk maximumniveau de EUCI in papieren vorm of met elektronische middelen kan worden uitgewisseld.

Indien nodig worden follow-upevaluatiebezoeken verricht, meer bepaald als:

Zodra de informatiebeveiligingsovereenkomst van kracht is en er met de betrokken derde staat of internationale organisatie gerubriceerde informatie wordt uitgewisseld, kan het Beveiligingscomité besluiten het maximumniveau waarop EUCI op papier of in elektronische vorm mag worden uitgewisseld te wijzigen, met name naar aanleiding van een vervolgevaluatiebezoek.

Indien het nodig is om met derde staten of internationale organisaties voor een lange termijn informatie uit te wisselen waarvan de rubriceringsgraad als algemene regel niet hoger is dan RESTREINT UE/EU RESTRICTED, en wanneer het Beveiligingscomité heeft vastgesteld dat de partij in kwestie geen voldoende ontwikkeld beveiligingssysteem heeft om een informatiebeveiligingsovereenkomst te sluiten, mag de SG/HV, na goedkeuring door de Raad, namens het SGR een administratieve regeling treffen met de daarvoor aangewezen instanties van de derde staat of de internationale organisatie in kwestie.

Indien om dringende operationele redenen snel een kader voor de uitwisseling van gerubriceerde informatie moet worden opgezet, kan de Raad bij wijze van uitzondering besluiten dat er een administratieve regeling wordt getroffen voor de uitwisseling van informatie met een hogere rubriceringsgraad.

Een administratieve regeling heeft in de regel de vorm van een briefwisseling.

Een evaluatiebezoek als bedoeld in punt 9 wordt afgelegd en het verslag of, bij gebreke daarvan, het in punt 12 bedoelde verslag wordt toegezonden aan het Beveiligingscomité, dat het bevredigend moet achten alvorens er daadwerkelijk EUCI aan de derde staat of de internationale organisatie in kwestie wordt vrijgegeven.

Uit hoofde van een administratieve regeling wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de regeling.

Deelname van derde staten of internationale organisaties aan EVDB-operaties worden geregeld bij kaderovereenkomsten inzake deelname. Deze overeenkomsten bevatten bepalingen betreffende de vrijgave van ten behoeve van EVDB-operaties gegenereerde EUCI aan de bijdragende derde staten of internationale organisaties. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

Voor een specifieke EVDB-operatie gesloten ad-hocovereenkomsten inzake deelname bevatten bepalingen betreffende de vrijgave van ten behoeve van die operatie gegenereerde EUCI aan de bijdragende derde staat of internationale organisatie. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

Indien er geen informatiebeveiligingsovereenkomst is gesloten en in afwachting van de sluiting van een overeenkomst inzake deelname kan de vrijgave van ten behoeve van de operatie gegenereerde EUCI aan een derde land of internationale organisatie die aan de operatie deelneemt, geregeld worden in een administratieve regeling waartoe de hoge vertegenwoordiger kan toetreden, of in een besluit tot ad-hocvrijgave overeenkomstig afdeling VI. EUCI wordt alleen uitgewisseld uit hoofde van een dergelijke regeling zolang de deelneming van de derde staat of internationale organisatie nog wordt overwogen. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

Ten aanzien van gerubriceerde informatie die moeten worden opgenomen in kaderovereenkomsten inzake deelname, in ad-hocovereenkomsten inzake deelname en in ad hoc administratieve regelingen bedoeld in de punten 22 tot en met 24, wordt bepaald dat de derde staat of de internationale organisatie in kwestie ervoor zorgt dat het naar een operatie uitgezonden personeel EUCI zal beschermen overeenkomstig de beveiligingsvoorschriften van de Raad en overeenkomstig nadere instructies van de bevoegde instanties, waaronder de commandostructuur van de operatie.

Indien vervolgens een informatiebeveiligingsovereenkomst wordt gesloten tussen de Europese Unie en een bijdragende derde staat of internationale organisatie, vervangt de informatiebeveiligingsovereenkomst, wat betreft het uitwisselen en verwerken van EUCI, de bepalingen over de uitwisseling van gerubriceerde informatie als neergelegd in een eventuele kaderovereenkomst inzake deelname, ad-hocovereenkomst inzake deelname of ad hoc administratieve regeling.

Elektronische uitwisseling van EUCI wordt niet toegestaan op basis van een kaderovereenkomst inzake deelname, een ad-hocovereenkomst inzake deelname of een ad hoc administratieve regeling met een derde staat of een internationale organisatie, tenzij daarin in de overeenkomst of regeling in kwestie uitdrukkelijk wordt voorzien.

Ten behoeve van een EVDB-operatie gegenereerde EUCI mag worden bekendgemaakt aan personeel dat door derde staten of internationale organisaties bij die operatie gedetacheerd is, overeenkomstig de punten 22 tot en met 27. Wanneer aan dat personeel toegang tot EUCI wordt verleend in werkruimten of in CIS van een EVDB-operatie, moeten maatregelen worden getroffen (zoals registratie van bekendgemaakte EUCI) om het risico van verlies of compromittering te verkleinen. Dergelijke maatregelen worden opgesteld in de desbetreffende plannings- of missiedocumenten.

Indien er geen informatiebeveiligingsovereenkomst is gesloten, kan in geval van specifieke en onmiddellijke operationele noodzaak de vrijgave van EUCI aan de ontvangende staat op het grondgebied waarvan een EVDB-operatie wordt uitgevoerd, geregeld worden in een administratieve regeling waartoe de hoge vertegenwoordiger kan toetreden. In deze mogelijkheid wordt voorzien in het gemeenschappelijk optreden waarin de EVDB-operatie wordt vastgesteld. Onder dergelijke omstandigheden wordt alleen EUCI vrijgegeven die ten behoeve van de EVDB-operatie wordt gegenereerd en die niet hoger is gerubriceerd dan RESTREINT UE/EU RESTRICTED, tenzij in het besluit waarbij de EVDB-operatie wordt ingesteld een hogere rubriceringsgraad is opgenomen. In het kader van een dergelijke administratieve regeling dient de ontvangende staat zich ertoe te verbinden EUCI te beschermen overeenkomstig met minimumnormen die niet minder streng zijn dan die van dit besluit.

Indien er geen informatiebeveiligingsovereenkomst is gesloten, kan de vrijgave van EUCI aan de betrokken derde staten en internationale organisaties, andere dan die welke aan een GVDB-operatie deelnemen, geregeld worden in een administratieve regeling waartoe de hoge vertegenwoordiger kan toetreden. Indien nodig worden deze mogelijkheid, alsmede de voorwaarden waaronder daarvan gebruik kan worden gemaakt, nader gepreciseerd in het besluit waarbij de EVDB-operatie wordt opgezet. Onder dergelijke omstandigheden wordt alleen EUCI vrijgegeven die ten behoeve van de EVDB-operatie wordt gegenereerd en die niet hoger is gerubriceerd dan RESTREINT UE/EU RESTRICTED, tenzij in het besluit waarbij de EVDB-operatie wordt ingesteld een hogere rubriceringsgraad is vastgesteld. In het kader van een dergelijke administratieve regeling dient de betrokken derde staat of internationale organisatie zich ertoe te verbinden EUCI te beschermen overeenkomstig met minimumnormen die niet minder streng zijn dan die van dit besluit.

Er zijn geen uitvoeringsregelingen of evaluatiebezoeken vereist alvorens de bepalingen betreffende de vrijgave van EUCI in de context van de punten 22, 23 en 24 worden uitgevoerd.

Indien er geen kader bestaat overeenkomstig de afdelingen III tot en met V, en wanneer de Raad of een van zijn voorbereidende instanties vaststelt dat zich een uitzonderlijke noodzaak voordoet om EUCI vrij te geven aan een derde staat of een internationale organisatie, moet het SGR:

Indien het Beveiligingscomité aanbeveelt de EUCI vrij te geven, wordt de zaak voorgelegd aan het Comité van permanente vertegenwoordigers (Coreper), dat een besluit neemt over de vrijgave.

Indien het beveiligingscomité aanbeveelt de EUCI niet vrij te geven, worden:

Wanneer zulks passend wordt geacht en indien de bron vooraf schriftelijk toestemming verleent, kan het Coreper besluiten dat de gerubriceerde informatie slechts gedeeltelijk mag worden vrijgegeven of pas nadat zij een lagere rubricering heeft gekregen of gederubriceerd is, of dat de vrij te geven informatie wordt opgesteld zonder vermelding van de bron of de oorspronkelijke EU-rubricering.

Nadat tot vrijgave van EUCI is besloten, verzendt het SGR het betrokken document, met daarop een markering inzake de geschiktheid voor vrijgave die vermeldt aan welke derde staat of internationale organisatie het is vrijgegeven. Voorafgaand aan of op het moment van de daadwerkelijke vrijgave, zegt de derde partij in kwestie schriftelijk toe dat zij de EUCI die zij ontvangt, zal beschermen overeenkomstig de grondbeginselen en minimumnormen van dit besluit.

Indien er overeenkomstig punt 2 een kader bestaat voor de uitwisseling van gerubriceerde informatie met een derde staat of een internationale organisatie, neemt de Raad een besluit waarbij de SG/HV wordt gemachtigd om, met inachtneming van het beginsel inzake toestemming van de bron, EUCI vrij te geven aan de derde staat of internationale organisatie in kwestie. De secretaris-generaal kan deze machtiging delegeren aan hoge ambtenaren van het SGR.

Indien overeenkomstig punt 2, eerste streepje, een informatiebeveiligingsovereenkomst is afgesloten, kan de Raad een besluit nemen waarbij de hoge vertegenwoordiger gemachtigd wordt tot vrijgave van EUCI die haar oorsprong vindt in de Raad op het gebied van het gemeenschappelijk buitenlands en veiligheidsbeleid, na de instemming te hebben verkregen van de opsteller van daarin opgenomen bronnenmateriaal, aan de betrokken derde staat of internationale organisatie. De hoge vertegenwoordiger kan deze machtiging delegeren aan hoge ambtenaren van de EDEO of aan SVEU's.

Indien er overeenkomstig punt 2 of punt 3 een kader bestaat voor de uitwisseling van gerubriceerde informatie met een derde staat of een internationale organisatie, wordt de hoge vertegenwoordiger gemachtigd om EUCI vrij te geven, overeenkomstig het gemeenschappelijk optreden waarbij de EVDB-operatie wordt opgezet en met inachtneming van het beginsel inzake toestemming van de bron. De hoge vertegenwoordiger kan deze machtiging delegeren aan hoge ambtenaren van de EDEO, aan bevelhebbers van EU-operaties, strijdkrachten of missies, of aan de hoofden van EU-missies.