Het ‘I love you’-virus was voor veel ondernemingen een openbaring. Het maakte duidelijk dat het uitvallen van het e-mailsysteem, ook al was het maar voor enkele uren, een rechtstreekse bedreiging kan vormen voor de bedrijfsvoering.
Het belang van e-mail is in korte tijd zo gegroeid dat inmiddels gesproken kan worden van een bedrijfskritische toepassing. In de nasleep van het liefdesvirus is ook aan heel wat bedrijfsjuristen de vraag gesteld hoe het eigenlijk zit met de e-mailcontracten: hoe is ons e-mailverkeer juridisch afgedekt? En waar de gemiddelde bedrijfsjurist meteen weet hoe het zit met het contract met de telecomleverancier, of de overeenkomst met die belangrijke softwareontwikkelaar, ligt het voor e-mail moeilijker. E-mailcontract? Welk e-mailcontract?
Van alle bedrijfskritische toepassingen is e-mail juridisch gezien ongetwijfeld het belabberdst geregeld. Dat is op zichzelf wel verklaarbaar. Een paar jaar geleden was het goed mogelijk om over e-mail een contract af te sluiten. Grote netwerkleveranciers boden berichtendiensten aan en waren bereid harde afspraken over die dienst ook contractueel vast te leggen. Dat konden zij, omdat zij alle onderdelen van de dienst in eigen beheer hadden, van infrastructuur tot ‘mailreader’. Met de opkomst van Internet en Internet-e-mail is dat anders geworden. Het e-mailverkeer tussen ondernemingen bestaat uit een veelheid van componenten waarover veelal apart wordt gecontracteerd.
Het gaat dan in de eerste plaats om de Internet-infrastructuur, of liever: de verbinding met de Internet-provider. Over die oprit wordt veelal met de telecomleverancier een contract afgesloten. Het gaat daarbij nog niet om de eigenlijke toegang tot het Internet, maar om de huurlijn (of andere verbinding) naar de provider. Vaak is het mogelijk om in de overeenkomst met de telecomleverancier harde afspraken te maken over bijvoorbeeld beschikbaarheid van de verbinding.
Vervolgens moeten afspraken worden gemaakt met de Internet-provider. Die afspraken kunnen betrekking hebben op de eigenlijke verbinding met het Internet (daarbij is vooral relevant wat de bandbreedte en beschikbaarheid is van de backbone-verbindingen van de aanbieder), maar het kan ook zijn dat de provider aanvullende diensten levert, zoals het draaien van ‘name’-servers of het aanvragen van domeinnamen. Worden deze diensten door een andere partij geleverd, dan zal daarmee weer apart een contract moeten worden opgemaakt.
De e-maildienst zelf bestaat meestal uit het draaien van Internet-mailservers. Dikwijls wordt dat cruciale onderdeel van de dienst door de desbetreffende onderneming zelf geregeld, maar uiteraard kan ook dit worden uitbesteed. In het desbetreffende contract gaat het dan om vragen als: welke protocollen (Smtp, Pop3, Imap4, enzovoort)? Wat is de beschikbaarheid? Hoeveel ruimte per mailbox? Welke maatregelen zijn er genomen tegen mailvirussen? En tegen ‘spamming’ en ‘relaying’? Hoe zit het met beveiliging van backups? Draait de onderneming zelf de e-mailservers, dan moet er natuurlijk een overeenkomst zijn met de leverancier van de desbetreffende serversoftware.
Om het e-mailverkeer te beveiligen zal de onderneming mogelijk gebruik willen maken van encryptie. Dikwijls zal de keuze vallen op asymmetrische encryptie, waarbij gebruik wordt gemaakt van een combinatie van een geheime en een openbare sleutel. Daarbij is dan ook nog een certificaat vereist dat het desbetreffende sleutelpaar verbindt aan de gebruiker ervan. Daarover zal een overeenkomst moeten worden afgesloten met een ‘certificate authority’ ofwel certificaatdienstverlener. In de desbetreffende overeenkomst zullen afspraken moeten worden gemaakt over procedures rond uitgifte, verlenging en intrekking van certificaten.
Als het e-mailverkeer écht bedrijfskritisch is, bestaat mogelijk behoefte aan aanvullende diensten. Daarbij valt bijvoorbeeld te denken ’timestamping’, waarbij tijdstip van verzending en ontvangst worden vastgelegd, of aan archiveringsdiensten. Ook over die diensten zal moeten worden gecontracteerd.
Ten slotte moeten gebruikers natuurlijk e-mail kunnen versturen en ontvangen: er moet dus ‘mailclient’-software zijn. Daarover zal een contract moeten worden opgemaakt met een softwareleverancier.
Al met al een versnipperde contractuele situatie. Dat kan ook niet echt anders, want uit het voorgaande blijkt dat de feitelijke situatie versnipperd is: de e-maildienst bestaat uit veel onderdelen die veelal door verschillende leveranciers worden geleverd. En het is nu eenmaal niet mogelijk om een eenvoudig contract te maken voor een ingewikkelde situatie. Belangrijke vraag is wel of die versnipperde situatie aanvaardbaar is voor een bedrijfskritische toepassing. Het lijkt mij van niet. Misschien dat de ‘hosted mail services’ een stap in de goede richting zijn: één leverancier die de klant veel uit handen neemt en die, mag je aannemen, op zijn prestaties aanspreekbaar is.
Totdat de feitelijke situatie minder versnipperd is, doen bedrijfsjuristen er goed aan eens te gaan puzzelen om zo in kaart te brengen hoe de bedrijfskritische e-mail van hun onderneming contractueel is geregeld.
Joost Linnemann is advocaat bij Kennedy van der Laan in Amsterdam en behartigt de IT-belangen en het elektronisch zakendoen van grote multinationals.