Para evitar que manipulen la barra de direcciones de tu navegador, cambiando el código del pais, puedes hacer algo como esto (es la idea con lo que debes quedarte)...

Seguramente tienes algo así cuando se valida el usuario:
session("validado")=true, o así: session("validado")=1, o similar.

Bueno, pues una vez validado, antes de cerrar el recordset, puedes hacer lo siguiente, redefiniendo la sesión "validado", por una concatenación de la sesión y el código del país (si te da error, quizás debas pasar los datos numéricos a string, no en la BD, sino cuando redefines la sesión):

session("validado") = session("validado") & "_" & rs("cod_pais")

Luego haces un split para separar los valores de la matriz, con el separador "_", y tienes como primer elemento, el valor de la sesión para un usuario registrado (true, o 1, según el ejemplo de antes), y como segundo elemento, el código del país. Con el primer elemento, le permites la entrada en las secciones de uso restringido, y con este segundo elemento, solo le permites acceder a aquellos datos correspondientes a ese país. Puedes jugar en todas las páginas con estos 2 elementos, ya que forman parte de la sesión para los usuarios validados.

Esto de concatenar, te propongo que lo hagas así, para no tener dos sesiones, ...que también podría ser, tan solo tienes que poner session("pais") = rs("cod_pais"), y no tener por tanto, 2 sesiones para cada usuario que se valida (una para saber si es true o 1, siguiendo el ejemplo que te ponía, y otra para saber de que país es: 1, 2, 3, ...12).

No sé si los maestros tendrán alguna idea mejor...