Jurisprudentie
BD7578
Datum uitspraak2008-07-18
Datum gepubliceerd2008-07-18
RechtsgebiedHandelszaak
Soort ProcedureKort geding
Instantie naamRechtbank Arnhem
Zaaknummers171900
Statusgepubliceerd
SectorVoorzieningenrechter
Datum gepubliceerd2008-07-18
RechtsgebiedHandelszaak
Soort ProcedureKort geding
Instantie naamRechtbank Arnhem
Zaaknummers171900
Statusgepubliceerd
SectorVoorzieningenrechter
Indicatie
NXP brengt sinds 1995 de zogenaamde MIFARE Classic Chip op de markt. Deze chip wordt veelvuldig toegepast in onder andere beveiligings- en transportsystemen. Onderzoekers van de Radboud Universiteit Nijmegen hebben de werking van de door NXP ontwikkelde chip onderzocht en daarbij een lek in de beveiliging gevonden. Zij willen dit onderzoek en de resultaten daarvan in een wetenschappelijk artikel publiceren ter gelegenheid van een congres dat in oktober 2008 wordt gehouden.
In een door NXP aanhangig gemaakt kort geding heeft de voorzieningenrechter bij vonnis van 18 juli 2008 het volgende beslist.
In dit kort geding kan er zonder nadere bewijslevering niet van worden uitgegaan dat het algoritme van de chip een auteursrechtelijk beschermd werk is. Evenmin komt het algoritme van de chip in aanmerking voor geschriftenbescherming, omdat vaststaat dat het algoritme niet door NXP op enigerlei wijze ter beschikking van het publiek is gesteld.
Voorts kan niet worden geconcludeerd dat de belangen die NXP voor haar vorderingen heeft ingeroepen maken dat publicatie van het artikel jegens haar onrechtmatig is en een overtuigend aangetoonde dringende maatschappelijke noodzaak (pressing social need) opleveren voor beperkingen, zoals door NXP gevorderd, aan het recht van de onderzoeksgroep van de universiteit het artikel te publiceren op de voorgenomen termijn in oktober en in de vorm waarin het thans voorligt. De noodzaak tot het stellen van een beperking aan de vrijheid het artikel al of niet te publiceren is in het licht van artikel 10 lid 2 EVRM niet overtuigend aangetoond en daarom zijn die beperkingen niet gerechtvaardigd. De vorderingen van NXP zijn daarom afgewezen.
Uitspraak
vonnis
RECHTBANK ARNHEM
Sector civiel recht
zaaknummer / rolnummer: 171900 / KG ZA 08-415
Vonnis in kort geding van 18 juli 2008
in de zaak van
1. de besloten vennootschap met beperkte aansprakelijkheid
NXP B.V.,
gevestigd te Eindhoven,
2. de besloten vennootschap met beperkte aansprakelijkheid
NXP SEMICONDUCTORS NETHERLANDS B.V.,
gevestigd te Eindhoven,
eiseressen,
procureur mr. A.T. Bolt,
advocaten mrs. T. Cohen Jehoram en M. Bronneman te 's-Gravenhage,
tegen
1. STICHTING KATHOLIEKE UNIVERSITEIT
h.o.d.n. RADBOUD UNIVERSITEIT NIJMEGEN,
gevestigd te Nijmegen,
2. [gedaagde 2],
wonende te Nijmegen,
gedaagden,
procureur mr. F.J. Boom,
advocaten mrs. A.J. Kronenberg en M. Jansen te Arnhem.
Eiseressen zullen hierna gezamenlijk NXP worden genoemd. Gedaagden zullen hierna afzonderlijk RUN en [gedaagde 2] worden genoemd, dan wel gezamenlijk RUN c.s.
1. De procedure
1.1. Het verloop van de procedure blijkt uit:
- de dagvaarding met producties.
- de producties van RUN c.s.
- de mondelinge behandeling die op verzoek van NXP achter gesloten deuren heeft
plaatsgevonden. De voorzieningenrechter heeft het verzoek daartoe op 7 juli 2008 toegewezen op grond van het bepaalde in artikel 27 lid 1 onder a, b en d Rv. Tevens heeft de voorzieningenrechter op dezelfde gronden op de voet van artikel 29 lid 1 onder b Rv partijen verboden mededelingen aan derden te doen over de inhoud van de processtukken.
- de pleitnota van NXP.
- de pleitnota van RUN c.s.
1.2. Na de behandeling ter zitting van 10 juli 2008 heeft de advocaat van RUN c.s., gelet op het te wijzen vonnis, schriftelijk aan de voorzieningenrechter en NXP medegedeeld dat de deadline voor het aanleveren van het artikel op verzoek van RUN c.s. door de uitgever is verschoven naar 18 juli 2008. Daarna is vonnis bepaald op heden.
2. De feiten
2.1. NXP is een bedrijf dat - kort gezegd - chips ontwerpt, fabriceert en verkoopt. Sinds 1995 brengt NXP de zogenaamde MIFARE Classic Chip op de markt (hierna: de chip). Deze chip is meestal geïncorporeerd in een kaart en kan door middel van radiosignalen (‘contactloos’) communiceren met lezers die op vaste plekken zijn aangebracht. Teneinde deze communicatie te beveiligen en misbruik te voorkomen, worden de kaarten in communicaties met de lezer op echtheid gecontroleerd, doordat geheime informatie (versleuteld) wordt uitgewisseld tussen chip en lezer. Dit principe wordt ook wel aangeduid als ‘security by obscurity’. Het hele systeem van versleuteling, waarbij door middel van zogenaamde ‘sectorsleutels’ in de kaart en de lezer gebruik wordt gemaakt van daaruit berekende steeds wisselende ‘sleutels’, wordt ook aangeduid met de term ‘algoritme’. Het algoritme is een geheim systeem. Voordat de lezer de chip kan uitlezen, wordt eerst vastgesteld of zowel de lezer als de chip kennis hebben van hetzelfde encryptie-algoritme. Bij de onderhavige chip van NXP is dat CRYPTO-1. Bij deze vaststelling, die geschiedt volgens een zogenaamd communicatie-protocol, sturen lezer en chip over en weer willekeurige getallen naar elkaar. Deze getallen dienen als invoer voor het algoritme, zodat uit de reactie van zowel lezer als chip op deze getallen kan worden afgeleid of zowel lezer als chip van hetzelfde encryptie-algoritme gebruik maken. Indien dat het geval is, kunnen lezer en chip elkaar vertrouwen en kan de verdere - versleutelde - communicatie plaatsvinden.
2.2. De chip wordt veelvuldig toegepast in onder andere beveiligings- en transportsystemen. Zo wordt de chip onder meer gebruikt in miljoenen toegangspassen voor gebouwen en terreinen van bedrijven en instellingen, waaronder de Nederlandse overheid. Ook wordt de chip gebruikt in bijvoorbeeld de openbaar vervoersystemen van Nederland (de OV-chipkaart), Londen en Moskou.
2.3. Onderzoekers van RUN (de onderzoeksgroep Digital Security van het Institute for Computering and Information Sciences van de Faculteit der Natuurwetenschappen, Wiskunde en Informatica, hierna ook: de onderzoeksgroep) hebben onder leiding van [naam] de werking van de door NXP ontwikkelde chip onderzocht. Op 12 maart 2008 is door de onderzoeksgroep een persbericht uitgegeven. In dit persbericht is onder meer het volgende opgenomen:
“Samenvatting
Vrijdag 7 maart 2008 hebben onderzoekers en studenten van de onderzoeksgroep Digital Security van de Radboud Universiteit Nijmegen een lek in de beveiliging van een veelgebruikt type contactloze chipkaart gevonden. Eerder hadden de Duitse wetenschappers [naam] en [naam] ook al op zwakheden gewezen. Het gaat hier om de zogenaamde “Mifare Classic” RFID-kaart die door NXP (voorheen Philips Semiconductors) geproduceerd wordt. Er zijn er wereldwijd ongeveer een miljard van verkocht.
Deze kaart wordt gebruikt voor de OV-chipkaart in Nederland en voor vergelijkbare openbaar vervoer toepassingen in het buitenland (zoals bijvoorbeeld de metro in Londen en Hong Kong). Ook wordt de Mifare Classic gebruikt in toegangspasjes voor de beveiliging van gebouwen en terreinen. Daardoor heeft dit lek een bredere impact. Doordat bepaalde kaarten gekloond kunnen worden, is het in principe mogelijk om onder een gestolen identiteit gebouwen en terreinen te betreden. Dit is in de praktijk aangetoond. In veel omstandigheden bestaan er echter aanvullende lagen van beveiliging. Het is dan ook raadzaam deze extra te versterken.
De Digital Security groep heeft zwakheden in het authenticatiemechanisme van de Mifare Classic gevonden. Te weten:
1. De werking van het CRYPTO-1 algoritme is tot in detail achterhaald.
2. Er is een betrekkelijk eenvoudige manier gevonden om de benodigde cryptografische sleutels te achterhalen. Dure apparatuur is hiervoor niet vereist.
Door deze twee punten te combineren is een daadwerkelijke aanval uitgevoerd: een Mifare Classic toegangspas is succesvol gekloond. Op deze manier kan een kwaadwillende oneigenlijk toegang verkrijgen, wanneer aanvullende beveiligingsmaatregelen ontbreken.
(…)
Openbaarmaking
Bij het ontdekken van beveiligingsproblemen ontstaat het dilemma hoe met deze kennis om te gaan. Bij directe publicatie kunnen belangen geschaad worden. Langdurige geheimhouding leidt doorgaans tot trage reacties waardoor misbruik lang mogelijk blijft. Het is gangbaar in de computer security community om beveiligingslekken na een korte vertraging bekend te maken, als redelijk evenwicht.
Ook deze aanpak is hier gevolgd. Op vrijdag 7 maart 2008 is de rijksoverheid ingelicht, omdat de staatsveiligheid hier mogelijk in het geding is. Op zaterdag 8 maart zijn medewerkers van het Nationaal Bureau voor Verbindingsbeveiliging (NBV, onderdeel van de AIVD) naar Nijmegen gekomen voor een assessment. De AIVD heeft vastgesteld dat de methode, zoals gedemonstreerd, werkt. Op zondag 9 maart is NXP gewaarschuwd, en op maandag 10 maart Trans Link Systems. Met medewerkers van beide organisaties zijn in Nijmegen de technische details besproken. Met hen wordt samengewerkt aan verdere analyse van de impact en van de mogelijke tegenmaatregelen. Op woensdag 12 maart heeft minister [naam] de Tweede Kamer geïnformeerd.
Vanwege de gevoeligheid van de zaak worden technische details pas veel later, in overleg met de direct betrokkenen, openbaar gemaakt, en wel in reguliere wetenschappelijke publicaties.
(…)”
2.4. Op 14 maart 2008 heeft een nader gesprek plaatsgevonden tussen [gedaagde 2] en NXP. Daarin zijn meer in detail het onderzoek en de bevindingen van de onderzoeksgroep besproken. Tevens is aan NXP het voornemen kenbaar gemaakt het onderzoek en de resultaten in een wetenschappelijk artikel te publiceren ter gelegenheid van het ESORICS Congres van 6 tot en met 8 oktober 2008 in Malaga, Spanje.
2.5. Op 31 maart 2008 heeft [gedaagde 2] aan NXP een brief gezonden met daarin onder meer opgenomen de hoofdlijnen van de gevonden zwakheden in de chip. In die brief is tevens het voornemen herhaald de onderzoeksresultaten in oktober 2008 in een wetenschappelijk artikel te publiceren.
2.6. Bij brief van 18 juni 2008 heeft RUN onder meer het volgende aan NXP bericht:
“De universiteit is bereid het concept van het artikel onder nader te noemen voorwaarden aan NXP ter beschikking te stellen, zodat NXP zich daarover een oordeel kan vormen. Indien NXP onoverkomelijke bezwaren heeft, kunnen wij ons voorstellen dat zij het voornemen tot publicatie ter beoordeling aan de rechter wil voorleggen. (…)
Op basis van de schriftelijke bevestiging over en weer van de navolgende afspraken is de universiteit bereid NXP de voor publicatie ingezonden tekst direct ter hand te stellen:
a. NXP zal de ter hand gestelde tekst volledig geheim houden en het geheel of een gedeelte van de tekst slechts openbaar (doen) maken na vooraf verkregen schriftelijke toestemming daartoe van de universiteit of na openbaarmaking door de universiteit van het desbetreffende gedeelte van de tekst;
b. De universiteit zal de voor publicatie ingezonden tekst niet openbaar (doen) maken voordat de hierna te noemen bundel verschijnt;
c. De ter hand gestelde tekst van de voorgenomen publicatie kan nog aan wijziging onderhevig zijn in verband met de uitkomsten van de “peer review” waar het onderhavige artikel aan onderworpen is.
Wij maken u erop attent dat het onderwerp van het artikel onderdeel vormt van de ESORICS conferentie die van 6-8 oktober 2008 in Malaga, Spanje, wordt gehouden. De tekst van het artikel wordt opgenomen in een conferentiebundel. Deadline voor aanlevering van de teksten is 7 juli 2008 waarna het drukproces aanvangt. Na die datum is dit proces wellicht onomkeerbaar.
(…)”
2.7. NXP heeft na bevestiging van de geheimhouding het artikel op 19 juni 2008 ontvangen van RUN.
2.8. In het artikel (zoals overgelegd door RUN c.s.), dat als titel draagt “Dismantling MIFARE Classic”, is onder meer het volgende opgenomen:
(citaat uit het artikel, de voorzieningenrechter)
2.9. De deadline voor het aanleveren van het artikel is vervolgens opgeschoven naar 14 juli 2008.
2.10. Bij brief van 25 juni 2008 heeft de heer [naam], directeur van NXP Nederland, onder meer het volgende aan [gedaagde 2] bericht:
“The information contained in the Mifare Classic IC, including the structure, algorithm and communication protocols constitute the protected secret know how of NXP. Publication of such information would not only violate the rights of NXP, but we also deem publication to be irresponsible and tortuous.
The report contains the way you conducted the research, the full Crypto1 algorithm and a set of serious attacks are described in quite some detail. NXP does not see that something can be taken out to make the report less damaging. The description of the research will enable others to retrieve the algorithm, the protocol and the attacks. The algorithm itself allows others to find attacks in matter of weeks, as you have indicated yourself as well. And providing a description of the attacks that can be performed by third parties is nothing less than inducing such attacks. All elements are therefore damaging in themselves, and one should refrain from publication of all those elements, especially in light of the fact that (ab)use of that information is likely to cause immense and irreparable damage and harm.
Publishing this secret information (or substantial parts thereof) will most likely cause substantial damage also to NXP, for which damage NXP will hold all those responsible for the publication liable. Also, the publication is deemed to be irresponsible, as it will jeopardize the security of assets protected with systems incorporating the Mifare IC. Furthermore, this might induce others to commit criminal acts (to which the party publishing the information could be aiding and abetting). Needless to say that - in addition - third parties using systems incorporating the Mifare Classic IC will have their own claims under tort vis-à-vis those responsible for the publication (also for the damages that they would suffer).
NXP therefore kindly requests, and in as far as necessary hereby demands, that you withdraw the publication from the conference and do not publish it in any other way or distribute it to others. NXP will not hesitate to protect its own and the public interest where needed, and if necessary by taking legal action. Obviously NXP considers it best to avoid any legal action where possible, and will be happy to discuss this matter with you, also to establish whether or not there are alternative means of publication that would avoid complications.
You have indicated in discussions, there are for you and your group 3 reasons why you want to publish its article.
Raising awareness with users is one of the reasons that you have mentioned. Awareness is of course relevant, but can also be raised without providing third parties with a blueprint of how to abuse systems incorporating the IC. The confirmation that NXP is prepared to provide should be sufficient in this respect: NXP is prepared to publicly confirm the correctness of your claims regarding the characteristics of the attacks (i.e. in which time, with which resources and with which parts of a genuine system an attack can be successful), in as far as they are in the draft publication and to the extent that they follow from the material in the draft report. This should provide for a sufficient warning (also without inducing actual attacks by publishing details thereof).
Secondly, you have indicated that this is good scientific work and should be published in the good scientific tradition. We are not aware of any such rule, but more importantly it is obviously incorrect to say that for the sake of scientific publication you can publish anything, no matter how damaging this is to third parties and society as a whole. Surely you will agree that it would (also) be irresponsible to, for instance, publish scientific findings about how to make nuclear or chemical weapons. NXP is nevertheless prepared to make sure that you, your group and your University get the credits you deserve for its scientific endeavors. For that reason NXP is prepared to publicly confirm the correctness of your claims regarding the properties of the attacks, as described in the previous paragraph. Furthermore NXP is prepared to publicly acknowledge that you have discovered the entire algorithm and protocol. This will provide full proof to the scientific community that, and when, you have developed and proven your claims.
Finally you indicated that others might (also) publish the information. If others threaten to commit a tort, this is obviously no justification to go ahead and be the first party to commit a tort. The acts of others do not affect the responsibility that you have for your own actions. If other parties choose to violate their obligation of due care, we will (also) take appropriate action against such parties. Also, as indicated above, we are prepared to publicly give you credit for retrieving the algorithm, the protocol and attack scenarios, so that there is no reasonable interest served by trying to be the first to publish.
We hope and trust that the above will keep you, your group and the University from actually making this irresponsible publication. You will appreciate that we will have to safeguard our interests, the public interest, as well as the interest of parties who would suffer immense damages. For that reason I would appreciate receiving your written confirmation before Monday 30th June 2008, 11.00 AM that you (and the University) will not publish the draft article, will withdraw this from the conference and will do everything in your power to stop any dissemination thereof (the steps to be taken there, we will be glad to discuss with you). Should I not receive such full and timely confirmation, NXP will consider itself free to start litigation at the shortest possible notice. (…)”
2.11. In reactie op voornoemde brief heeft RUN, mede namens [gedaagde 2], bij brief van 30 juni 2008 onder meer het volgende aan NXP bericht:
“(…)
NXP gaat er kennelijk aan voorbij dat het onderwerp waar alles om draait, betreft de (door NXP erkende) intrinsieke zwakten van de Mifare Classic Chip. Deze Chip wordt al geruime tijd door NXP op de markt gebracht en wordt veelvuldig toegepast in beveiligingssystemen en is ook beoogd te worden gebruikt voor de nieuwe OV-chipkaart. Het is volgens de onderzoekers aannemelijk dat NXP al lange tijd bekend is met de intrinsieke zwakte van de Chip en al geruime tijd een alternatief voorhanden heeft. De Mifare Classic Chip is echter op de markt gebleven. De door de onderzoekers geconstateerde intrinsieke zwakten van de Chip maken het op zijn minst aannemelijk dat door NXP niet wordt voldaan aan het beveiligingsniveau dat afnemers en eindgebruikers van de Chip mogen verwachten. Wie voortgaat een dergelijk gebrekkig product op de markt te brengen, moet niet klagen dat vanuit de wetenschap de gebreken van het product op een wetenschappelijk onderbouwde wijze onder de aandacht worden gebracht.
De onderzoekers hebben op rechtmatige wijze de werking van de Chip geanalyseerd en publicatie van de resultaten van hun onderzoek maakt geen inbreuk op rechten van NXP. Reeds tegen de achtergrond van het bovenstaande kan gezegd worden dat publicatie van het artikel in overeenstemming is met de vrijheid van onderzoek, waaronder de vrijheid van publicatie.
De publicatie dient niet uitsluitend een wetenschappelijk, maar ook een zwaarwegend maatschappelijk belang. De door NXP aangeboden “public acknowledgements” zullen niet dezelfde impact hebben als de publicatie van een wetenschappelijk artikel, noch in wetenschappelijke wereld, noch maatschappelijk gezien. Het is van belang dat de gestelde intrinsieke zwakten van de chip en de in de chip gevolgde werkwijze verifieerbaar worden aangetoond. Voorts is het voor de bijdrage aan de verdere technologische ontwikkeling van belang dat verifieerbaar wordt aangetoond waarom de werkwijze niet deugt en hoe deze kan worden verbeterd. De publicatie dient bovendien het wetenschappelijke belang doordat wordt aangetoond dat de onafhankelijkheid van het wetenschappelijk onderzoek is gewaarborgd. Het algemene belang is gediend bij de publicatie voor de noodzakelijke bewustwording van de intrinsieke zwakten in de Chip, mede in het licht dat NXP zich daarvan bewust was of moet zijn geweest.
De onderzoekers hebben de belangen van NXP steeds in het oog gehouden. In maart 2008 hebben zij NXP en de minister van Binnenlandse Zaken van hun bevindingen op de hoogte gesteld. De laatste heeft toen de Tweede Kamer ingelicht. Voorts hebben de onderzoekers in maart 2008 aan NXP en de minister laten weten in oktober tot publicatie te zullen overgaan. Aldus heeft NXP een ruime termijn gekregen om maatregelen te nemen om de gevolgen van het door haar op de markt gebrachte gebrekkige product te mitigeren.
De Radboud Universiteit en de onderzoekers zijn van oordeel dat de publicatie van het artikel in de conferentiebundel, die verschijnt ter gelegenheid van de ESORICS-conferentie, 6-8 oktober te Malaga, Spanje, rechtmatig is. Wij stellen vast dat NXP een andere opvatting heeft. Het staat NXP vrij de rechtmatigheid van de publicatie ter beoordeling aan de rechter voor te leggen. Wij kunnen ons voorstellen dat NXP een openbare behandeling door de rechter niet aantrekkelijk vindt. Onderzoekers en de Radboud Universiteit zijn - onder nader overeen te komen voorwaarden - bereid mee te werken aan het verkrijgen van een rechterlijke beslissing via een spoedarbitrage. Wij behouden ons het recht voor naar buiten te brengen dat wij dit aanbod hebben gedaan.
(…)”
3. Het geschil
3.1. NXP vordert dat:
primair
a. RUN c.s. op straffe van een dwangsom van € 1.000.000,00, onverminderd hun aansprakelijkheid, wordt verboden om de volgende informatie en/of gegevens (hoe dan ook en waar dan ook) te publiceren of anderszins openbaar te maken, dan wel om daar behulpzaam bij te zijn:
- gedetailleerde en/of praktisch toepasbare informatie over methodes waarmee het algoritme en/of het protocol van de chip kunnen worden achterhaald;
- het algoritme en/of het protocol van de chip zelf;
- gedetailleerde en/of praktisch toepasbare informatie over hoe een systeem - onder meer bestaande uit lezer(s) en chip(s) - kan worden gekraakt (dat wil zeggen dat tot zo’n systeem - anders dan via de reguliere weg - toegang wordt verschaft, een systeem wordt misleid en/of door een dergelijk systeem gewaarborgde beveiliging wordt doorbroken of omzeild);
althans, voor zover dit niet volledig toewijsbaar is, een termijn wordt bepaald gedurende welke het RUN c.s. verboden zal zijn om de hiervoor genoemde informatie en/of gegevens (hoe dan ook en waar dan ook) te publiceren of anderszins openbaar te maken, dan wel om daar behulpzaam bij te zijn, eveneens op straffe van een dwangsom van € 1.000.000,00, onverminderd hun aansprakelijkheid;
b. RUN c.s. op straffe van een dwangsom van € 100.000,00 per overtreding, wordt bevolen al het mogelijke in het werk te stellen om te voorkomen dat derden (waaronder: betrokkenen binnen RUN, de mede-auteurs, de congresorganisatie van ESORICS en de “peers” die het concept-artikel hebben gereviewed) de informatie en/of gegevens genoemd onder a. publiek maken, op welke wijze dan ook en waar dan ook, tenminste tot het tijdstip dat publicatie door een Nederlandse rechter of arbiter in een voorlopige voorziening of bodemprocedure zal zijn toegestaan;
c. een dwangsom van € 50.000,00 wordt verbonden aan het mededelingenverbod in de zin van artikel 29 Rv;
d. RUN c.s. worden veroordeeld in de kosten van het geding, voor het auteursrechtelijk deel van de vorderingen overeenkomstig artikel 1019h Rv.
3.2. NXP legt het volgende aan haar vorderingen ten grondslag.
auteursrecht
Het CRYPTO-1 algoritme is, mede bezien in het licht van de considerans van de zogenaamde Softwarerichtlijn, te kwalificeren als een ‘computerprogramma en het voorbereidend materiaal’ in de zin van artikel 10 lid 1 sub 12 Auteurswet 1912 (hierna: Aw). In ieder geval is het algoritme volgens NXP te kwalificeren als ‘ieder voortbrengsel op het gebied van letterkunde, wetenschap of kunst, op welke wijze of in welken vorm het ook tot uitdrukking zij gebracht’ in de zin van artikel 10 lid 1 aanhef en slot Aw. Zij bezit een eigen oorspronkelijk karakter en draagt het persoonlijk stempel van de maker. Bij het ontwikkelen van het algoritme zijn namelijk verschillende eigen, oorspronkelijke keuzes gemaakt, waarbij persoonsgebonden inzichten, expertise en analyse bij het selecteren van criteria een rol hebben gespeeld. NXP verwijst in dit verband ook naar het zogenaamde Technip-arrest (Hoge Raad 24 februari 2006, NJ 2007, 36). Daarmee is het algoritme een auteursrechtelijk beschermd werk. Publicatie van het artikel door RUN c.s. betekent dat de geheime informatie met betrekking tot het algoritme, het protocol en de aanvalsscenario’s in het artikel verveelvoudigd worden in de zin van artikel 13 Aw en dat deze openbaar worden gemaakt in de zin van artikel 12 Aw. Deze verveelvoudiging en openbaarmaking levert een auteursrechtinbreuk op, waartegen NXP zich als auteursrechthebbende op grond van artikel 1 Aw kan verzetten.
Voorts beroept NXP zich op artikel 29a Aw. RUN c.s. handelen onrechtmatig jegens NXP doordat zij bewust doeltreffende technische voorzieningen omzeilen, althans redelijkerwijs behoren te weten dat zij dit doen. Bovendien vormt ook de publicatie van de wijze waarop de bescherming van het auteursrechtelijk beschermde algoritme kan worden doorbroken een onrechtmatige daad, evenals het verlenen van diensten (zoals het publiceren van praktisch toepasbare informatie), die het omzeilen van doeltreffende technische voorzieningen mogelijk of makkelijker maken.
Voor zover het algoritme van de chip een eigen karakter ontbeert, is zij aan te merken als geschrift in de zin van artikel 10 lid 1 sub 1 Aw ten aanzien waarvan geschriftenbescherming geldt.
onrechtmatige daad
Naast een auteursrechtinbreuk is het publiceren van het artikel door RUN c.s. ook als een onrechtmatige daad conform artikel 6:162 BW jegens NXP aan te merken. Met het openbaarmaken van de informatie in het artikel handelen RUN c.s. op de eerste plaats in strijd met hun zorgvuldigheidsplicht. Door het publiceren van het artikel faciliteren RUN c.s. immers derden met relevante basiskennis en minimale middelen om beveiligingssystemen te misbruiken. De kans dat er schade ontstaat wanneer tot publicatie wordt overgegaan is aanzienlijk en de omvang van de schade zal dan groot zijn. Deze schade wordt geleden door bedrijven en instellingen die gebruik maken van systemen die voorzien zijn van de chip, maar ook door particulieren en de gehele samenleving. Ook NXP zelf lijdt rechtstreeks schade. Zij is zelf ook ‘end user’ van systemen voorzien van de chip en zal versneld moeten proberen te migreren naar andere systemen. In zijn algemeenheid bedraagt de absolute minimale migratietermijn evenwel tweeënhalf jaar. Daarnaast zullen vele tienduizenden partijen die schade lijden door de publicatie, mogelijk verhaal gaan zoeken bij onder andere NXP als maker van de chip. Dat zou betekenen dat NXP zich in verschillende kostbare procedures zal moeten verweren. Voorts lijdt NXP schade als gevolg van omzetverlies wegens dalende verkoop van de chip en dalende licentie-overeenkomsten met betrekking tot de geheime know-how. Ten slotte lijdt NXP reputatieschade. De aard van de informatie die RUN c.s. willen publiceren is zeer gevoelig, terwijl het door RUN c.s. primair nagestreefde doel - het inlichten van het publiek - ook langs andere, minder schadelijke wegen en met een redelijke kans op succes kan worden bereikt. De publicatie van hoe de gekraakte chip in de praktijk kan worden toegepast dient het algemeen belang niet, maar schaadt dat juist.
Het publiceren van het artikel is volgens NXP ook in strijd met een aantal (geschreven) strafrechtelijke normen, te weten de normen zoals neergelegd in artikel 138a (computervredebreuk) en 273 lid 1 sub 2 (bekendmaking van geheime bedrijfsgegevens) Wetboek van Strafrecht. Voorts kunnen RUN c.s. door het publiceren van het artikel worden aangemerkt als medeplichtige aan verschillende andere misdrijven.
In het kader van een belangenafweging dienen de belangen van NXP te prevaleren boven die van RUN c.s. De door RUN c.s. ingeroepen vrijheid van meningsuiting en vrijheid van publicatie zijn geen belangen die per definitie het zwaarst moeten wegen. Daarbij verwijst NXP naar artikel 10 lid 2 Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM). Op grond van dit artikellid kan de vrijheid van meningsuiting worden beperkt wanneer bijvoorbeeld de openbare veiligheid of de nationale veiligheid in het geding zijn, of wanneer het gaat om het voorkomen van strafbare feiten of ter bescherming van de rechten van anderen. Volgens NXP is daarvan in deze zaak sprake, waarbij zij verwijst naar een aantal relevante uitspraken. Aan het belang van RUN c.s. om erkenning te krijgen voor het wetenschappelijk werk dat zij hebben verricht, wordt al tegemoet gekomen door de toezegging van NXP dat zij publiekelijk wil erkennen dat RUN c.s. de chip hebben gekraakt. Ook het belang van RUN c.s. om het publiek te waarschuwen is reeds genoegzaam gedekt. Door het versturen van verschillende persberichten is het publiek immers al op de hoogte gebracht door RUN c.s. Ook het belang van RUN c.s. om wetenschappelijke kennis te delen is volgens NXP reeds voldoende gewaarborgd. Ten slotte is het belang van RUN c.s., om nu te publiceren, omdat anders anderen dat wel zullen doen, geen rechtvaardiging om dan zelf maar als eerste onrechtmatig te handelen.
3.3. RUN c.s. voeren gemotiveerd verweer. Zij stellen het volgende.
auteursrecht
Het algoritme (en overigens ook het protocol) van de chip is geen auteursrechtelijk beschermd werk in de zin van de Auteurswet 1912. Een algoritme is niets meer dan een wiskundige of logische formule, waar een cijferreeks doorheen wordt gehaald. Van enige creativiteit is geen sprake. De keuze van een algoritme is banaal of triviaal, geheel arbitrair en hooguit gebaseerd op praktische afwegingen als rekensnelheid, technische eisen van de apparatuur, het vereiste beveiligingsniveau, overwegingen van gebruiksgemak en ander louter technische/functionele randvoorwaarden. Om die reden gaat een beroep op het Technip-arrest ook niet op. Een beroep op de Softwarerichtlijn kan NXP evenmin baten.
Verder zijn RUN c.s. van mening dat zij niet hebben ontleend in auteursrechtelijke zin. Het algoritme is immers geheim. Aldus wordt niet voldaan aan het basisvereiste voor een auteursrechtinbreuk. Evenmin is sprake van verveelvoudiging. Het artikel geeft slechts informatie met betrekking tot (onder meer) het algoritme; het algoritme zelf wordt niet gepubliceerd.
Omdat er geen sprake is van een auteursrechtelijk beschermd werk, is artikel 29a Aw niet van toepassing.
Een beroep op geschriftenbescherming kan NXP evenmin baten, omdat het algoritme van de chip nooit openbaar is gemaakt, hetgeen voor geschriftenbescherming wel is vereist.
onrechtmatige daad
RUN c.s. betwisten voorts dat er sprake is van onrechtmatig handelen. NXP heeft de toerekenbaarheid aan RUN c.s., het causaal verband tussen handeling en schade en de relativiteit ten aanzien van de geschonden norm gesteld noch onderbouwd. NXP miskent dat het artikel geen stappenplan bevat voor het kunnen kraken en klonen van de chip. Informatie over voor klonen en kraken noodzakelijke software ontbreekt. Ook ontbreekt informatie over het apparaat dat moet worden gebruikt voor het uitlezen en nabootsen van signalen. Van faciliteren van kwaadwillenden is dan ook geen sprake.
Bovendien miskent NXP dat er deskundigheid van wetenschappelijk niveau op het vlak van encryptie nodig is om het artikel te begrijpen. Het is om die reden niet aannemelijk dat op grond van het artikel misbruik zal worden gemaakt van de chip. Daarenboven geldt dat op grond van de thans reeds beschikbare informatie deskundigen op het vlak van encryptie binnen enkele maanden hetzelfde resultaat kunnen boeken als RUN c.s.
Van het handelen in strijd met een aantal (geschreven) strafrechtelijke normen is geen sprake. Aan geen van de delictsomschrijvingen van die strafrechtelijke bepalingen is voldaan. Bovendien ontbreekt het daartoe noodzakelijke opzet aan de zijde van RUN c.s. Hun wil is louter gericht op het aan de orde stellen van een maatschappelijke misstand en het bevorderen van het wetenschappelijk onderzoek naar encryptie.
RUN c.s. beroepen zich in dit kader op artikel 10 lid 2 EVRM. Uitgangspunt is de vrijheid van meningsuiting en op grond van de concrete omstandigheden van het geval moet worden beoordeeld of er een op de wet gebaseerde grondslag is die een beperking in de zin van genoemd artikellid noodzakelijk maakt. Een eventueel geldig beroep van NXP op een auteursrecht of een onrechtmatig handelen van RUN c.s. is op zichzelf dan ook niet voldoende voor het opzij zetten van de vrijheid om het artikel te publiceren. RUN c.s. verwijzen in dit verband naar het zogenaamde Hertel-arrest (EHRM 25 augustus 1998, NJ 1999, 712) en de conclusie van AG Verkade bij het Scientology-arrest (HR 16 december 2005, RvdW 2006, 3). RUN c.s. zijn van mening dat zij een zwaarwegend belang hebben bij publicatie van het artikel. Allereerst is het algemeen belang erbij gediend dat zo snel mogelijk de door RUN c.s. ontdekte misstand op verifieerbare wijze aan de orde wordt gesteld. Daarnaast moeten gebruikers en het publiek zo snel mogelijk indringend bewust zijn van de zwakheden van de chip en de daaraan verbonden risico’s van misbruik van de chip. In het maatschappelijk debat over de wenselijkheid van de toepassing van de chip in publieke en private beveiligingssystemen dienen de geconstateerde zwakheden en risico’s te worden meegewogen op basis van verifieerbaar wetenschappelijk onderzoek. Verder is van belang dat de details van het onderzoek en de in het artikel opgenomen aanbevelingen zo snel mogelijk kunnen worden gebruikt en toegepast door wetenschap en praktijk. Het algemeen belang is er daarbij van gediend dat dezelfde ontwerpfouten in de toekomst niet meer worden gemaakt. Volgens RUN c.s. zijn zij en meer in het algemeen de wetenschap, er bij gediend dat zo snel mogelijk op wetenschappelijk verifieerbare wijze de juistheid van de gestelde zwakheden in de chip en de daaraan verbonden risico’s kunnen worden aangetoond op een in de wetenschappelijke wereld erkende wijze.Ten slotte zijn het wetenschappelijke en het algemeen belang er mee gediend dat met publicatie van het artikel wordt aangetoond dat de onafhankelijkheid van het wetenschappelijk onderzoek en de publicatie daarvan zijn gewaarborgd in onze democratische samenleving.
De belangen die NXP tegenover voornoemde belangen van RUN c.s. heeft geplaatst (eigen economisch belang, het economisch belang van haar afnemers en het maatschappelijk belang in verband met het risico van misbruik van de chip) vormen afzonderlijk alsook tezamen geen ‘pressing social need’ die een beperking van het recht van vrijheid van meningsuiting noodzakelijk maakt. Aan de gestelde belangen van NXP ligt ten grondslag het risico van misbruik en de daaruit voortvloeiende schade/onveiligheid. Dat risco wordt echter veroorzaakt door de zwakheden in het ontwerp van de chip zelf en daarvoor is NXP verantwoordelijk, evenals voor de schadelijke gevolgen daarvan.
Bovendien zijn de door NXP geschetste omvang van de risico’s en de daaruit voortvloeiende schade veel te algemeen en ongenuanceerd gesteld en bieden zij volgens RUN c.s. dan ook onvoldoende basis voor een concrete belangenafweging. Dit betekent volgens RUN c.s. dat op grond van artikel 10 EVRM moet worden geconcludeerd dat er geen rechtvaardiging is voor een verbod in welke mate dan ook van de voorgenomen publicatie van het artikel.
4. De beoordeling
4.1. Het spoedeisend belang vloeit voort uit de stellingen van NXP.
Auteursrechtelijk beschermd werk?
4.2. Op grond van artikel 1 juncto artikel 10 Aw is het auteursrecht het uitsluitend recht van de maker van een werk van letterkunde, wetenschap of kunst, of van diens rechtsverkrijgenden, om dit openbaar te maken en te verveelvoudigen. In het onderhavige geval dient daarom eerst te worden nagegaan óf er auteursrecht rust op het algoritme van de chip van NXP. Om voor auteursrechtelijke bescherming in aanmerking te komen moet dit algoritme een eigen oorspronkelijk karakter hebben en het persoonlijk stempel van de maker dragen (vgl. HR 4 januari 1991, NJ 1991, 608, Van Dale/Romme). Daarbij is van belang dat de maker van het werk bij de vormgeving van het werk keuzes heeft gemaakt die subjectief zijn bepaald en die dus niet uitsluitend op objectieve vereisten van technische of praktische aard zijn gebaseerd.
4.3. Partijen verschillen van mening over de vraag of het algoritme van NXP een oorspronkelijk karakter heeft en het persoonlijk stempel van de maker draagt, en of het dan als ‘computerprogramma en het voorbereidende materiaal’ in de zin van artikel 10 lid 1 sub 12 Aw auteursrechtelijke bescherming geniet. NXP verwijst in dit verband op de eerste plaats naar de ruime omschrijving van de term ‘computerprogramma’s’ in de considerans van de Softwarerichtlijn (Richtlijn 91/250 EEG van de Raad van 14 mei 1991 betreffende de rechtsbescherming van computerprogramma’s). Overweging 7 van de considerans van de Softwarerichtlijn luidt als volgt:
“Overwegende dat met het oog op deze richtlijn de term ‘computerprogramma’ alle programma’s in gelijk welke vorm moet omvatten, met inbegrip van programma’s die in de apparatuur zijn ingebouwd; dat deze term eveneens het desbetreffende voorbereidende ontwerp-materiaal moet omvatten dat tot het vervaardigen van een programma leidt, op voorwaarde dat dit voorbereidende materiaal van dien aard is dat het later tot zulk een programma kan leiden;”
Daarnaast verwijst NXP naar een in het geding gebrachte verklaring van [naam] van NXP van 8 juli 2008, inzake de auteursrechten op het algoritme. [naam] is de maker van het CRYPTO-1 algoritme van de chip. Volgens NXP bevestigt [naam] in zijn verklaring dat, samengevat, zijn persoonlijke, onder meer op ervaring en kennis berustende visie bij het ontwerpproces van de chip een rol heeft gespeeld. Zijn verklaring maakt duidelijk dat de selectie van de criteria en de diverse ontwerpkeuzes subjectief zijn.
4.4. RUN c.s. betwisten dat NXP op grond van de Softwarerichtlijn auteursrecht op het algoritme kan claimen. Zij verwijzen daarbij eveneens naar de considerans van bedoelde richtlijn. De overwegingen 13 en 14 daarvan luiden als volgt:
“Overwegende dat onzekerheid dient te worden vermeden, en dat dus duidelijk moet worden gesteld dat alleen de uitdrukkingswijze van een computerprogramma wordt beschermd, en dat ideeën en beginselen die aan enig element van een programma - inclusief de bijbehorende interfaces - ten grondslag liggen, niet overeenkomstig deze richtlijn door het auteursrecht worden beschermd;
Overwegende dat ideeën en beginselen overeenkomstig dat principe van het auteursrecht niet uit hoofde van deze richtlijn worden beschermd, in zoverre logica, algoritmen en programmeertalen uit deze ideeën en beginselen zijn opgebouwd.”
Volgens RUN c.s. is uit de verklaring van [naam] af te leiden dat zijn persoonlijke keuzes bij het ontwerpen van de chip louter zijn gebaseerd op functionele en technische eisen, zodat geen sprake is van een auteursrechtelijk beschermd werk.
4.5. Voorop wordt gesteld dat met inachtneming van de overwegingen van de Softwarerichtlijn op zichzelf niet is uitgesloten dat het algoritme van de chip als ‘voorbereidend materiaal’ als auteursrechtelijk beschermd werk in de zin van artikel 10 lid 1 sub 12 Aw kan worden aangemerkt. In het kader van dit kort geding is naar het voorlopig oordeel van de voorzieningenrechter door NXP evenwel onvoldoende gesteld en aannemelijk gemaakt waar in het algoritme exact het eigen oorspronkelijk karakter en het persoonlijk stempel van de maker zit. Onder de huidige stand van zaken valt immers niet uit te sluiten dat het algoritme, zoals RUN c.s. gemotiveerd stellen, in wezen slechts een bestaande wiskundige of logische formule betreft. De verklaring van [naam] kan NXP in dit verband niet baten, nu vooralsnog evenmin onvoldoende duidelijk is geworden welke de eigen, subjectieve keuzes van [naam] bij het ontwerpen van het algoritme van de chip precies zijn geweest. Het is heel wel mogelijk dat het keuzes betreft uit bestaande wiskundige of logische formules die louter zijn gebaseerd op technische en/of functionele eisen. Om die reden kan er in dit kort geding zonder nadere bewijslevering, waarvoor een kort gedingprocedure zich in zijn algemeenheid niet leent, niet van worden uitgegaan dat het algoritme van de chip een auteursrechtelijk beschermd werk is. Voorshands kan dan ook niet worden aangenomen dat NXP een auteursrecht kan doen gelden op dat algoritme.
4.6. NXP heeft zich ter zake nog op het zogenaamde Technip-arrest beroepen. In dat arrest overwoog de Hoge Raad onder meer:
“Het gaat om de vraag of het kinetisch schema kan gelden als ‘werk’ in de zin van artikel 10 lid 1, aanhef en slot, Auteurswet 1912 (…)
Waar het kinetisch schema het productieproces van ethyleen en propyleen in de petrochemische industrie schematisch in onder andere een verzameling chemische reactievergelijkingen weergeeft, en de aldus in het schema opgenomen chemische reactievergelijkingen op zichzelf slechts een hoeveelheid objectieve wetenschappelijke gegevens vormen, die als zodanig niet voor auteursrechtelijke bescherming in aanmerking komt, heeft het hof terecht onderzocht of de selectie van die gegevens met het oog op het al dan niet opnemen ervan in het kinetisch schema, een eigen, oorspronkelijk karakter heeft en het persoonlijk stempel van de maker draagt.”
4.7. Voorshands geoordeeld kan een beroep op dit arrest NXP in deze zaak niet baten. Zoals blijkt uit het hiervoor weergegeven citaat heeft men in die zaak - kort gezegd - uit een hoeveelheid chemische reactievergelijkingen een selectie gemaakt en vervolgens gebruikt in een (kinetisch) schema. In de verschillende procedures is beoordeeld of de selectie van die reactievergelijkingen met het oog op het al dan niet opnemen ervan in het kinetisch schema een eigen oorspronkelijk karakter heeft ter beantwoording van de vraag of aan dat schema auteursrechtelijke bescherming toekomt. Dit blijkt ook uit de vraag die de Hoge Raad voorop heeft gesteld. In het arrest is derhalve niet de vraag beantwoord of de selectie van chemische reactievergelijkingen op zichzelf reeds auteursrechtelijke bescherming geniet. Nog daargelaten of bij het onderhavige algoritme nu wel sprake is van een selectie met een oorspronkelijk karakter kan dit arrest niet (mede) als grondslag dienen voor het onderhavige beroep op auteursrechtelijke bescherming, nu ook niet aangenomen kan worden dat die selectie is samengebracht tot een nieuw geheel met een eigen oorspronkelijk karakter, zoals het kinetisch schema.
Beroep op artikel 29a Aw
4.8. NXP beroept zich voorts op artikel 29a Aw. Dit artikel biedt - kort gezegd - bescherming tegen omzeiling van doeltreffende technische voorzieningen. Lid 1 van dit artikel luidt voor zover van belang:
“Voor de toepassing van dit artikel wordt onder ‘technische voorzieningen’ verstaan technologie, inrichtingen of onderdelen die in het kader van hun normale werking dienen voor het voorkomen of beperken van handelingen ten aanzien van werken, die door de maker of zijn rechtverkrijgenden niet zijn toegestaan.”
Voor een geslaagd beroep op artikel 29a Aw is derhalve in ieder geval vereist dat er sprake is van een werk in auteursrechtelijke zin. Nu uit r.o. 4.5 volgt dat in dit kort geding niet ervan kan worden uitgegaan dat het algoritme een auteursrechtelijk beschermd werk is, faalt het beroep op artikel 29a Aw reeds om die reden.
Geschriftenbescherming?
4.9. NXP stelt dat voor zover het algoritme van de chip een eigen persoonlijk karakter ontbeert, zij is aan te merken als geschrift in de zin van artikel 10 lid 1 sub 1 Aw, ten aanzien waarvan geschriftenbescherming geldt.
4.10. De voorzieningenrechter volgt NXP hierin niet. Bij arrest van 8 februari 2002, IER 2002, 17, heeft de Hoge Raad onder meer het volgende overwogen:
“De Hoge Raad ziet in de rechtsontwikkeling sedert 1965, in welke periode op het terrein van de ‘geschriftenbescherming’ afzonderlijke wettelijke regelingen zijn getroffen voor achtereenvolgens computerprogramma’s en databanken, geen grond terug te komen van zijn in voormeld arrest gegeven oordeel dat aan geschriften zonder eigen of persoonlijk karakter slechts auteursrechtelijke bescherming toekomt indien zij zijn openbaar gemaakt of zijn bestemd om openbaar gemaakt te worden. (…)
Een ander geschrift als bedoeld in art. 10 lid 1 onder 1° Auteurswet 1912 kan slechts dan gelden als openbaar gemaakt of bestemd om openbaar gemaakt te worden zoals bedoeld in het arrest van 25 juni 1965 indien het op enigerlei wijze ter beschikking van het publiek is gesteld.”
In dit kort geding staat vast dat het algoritme niet door NXP op enigerlei wijze ter beschikking van het publiek is gesteld. Dit is nu juist de inzet van de onderhavige procedure; het algoritme moet naar de mening van NXP geheim blijven, hetgeen strijdig is met de eis dat een dergelijk geschrift openbaar moet zijn gemaakt of moet zijn bestemd om openbaar te worden gemaakt.
4.11. Het voorgaande leidt tot de conclusie dat de vorderingen van NXP niet op grond van het auteursrecht kunnen worden toegewezen.
Onrechtmatig handelen door RUN c.s.?
4.12. Behalve op een inbreuk op een haar toekomend auteursrecht heeft NXP zich erop beroepen dat RUN c.s. onrechtmatig jegens haar handelen door publicatie van het artikel. RUN c.s. hebben zich ter afwering van de vordering, zowel voor zover die is gebaseerd op inbreuk op een auteursrecht als op onrechtmatige daad, beroepen op het recht op vrijheid van meningsuiting zoals dat wordt beschermd door artikel 10 EVRM. Dat perspublicaties onder omstandigheden onrechtmatig kunnen zijn jegens derden staat niet ter discussie. Aangenomen moet worden dat ook wetenschappelijke publicaties als waarom het hier gaat onder omstandigheden onrechtmatig kunnen zijn jegens derden die daardoor schade dreigen te zullen lijden, bijvoorbeeld wegens strijd met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt. Voorts is niet uitgesloten dat indien de wetenschapper (hier: [gedaagde 2]) die voor de inhoud van de publicatie verantwoordelijk is, door publicatie daarvan onrechtmatig zou handelen, ook de universiteit (hier: RUN) als diens werkgever voor dat onrechtmatig handelen aansprakelijk zou kunnen zijn, indien aan de vereisten voor zodanige aansprakelijkheid, zoals die voor de arbeidsovereenkomst naar burgerlijk recht in artikel 6:170 BW zijn vervat, is voldaan. Anderzijds geldt dat wetenschappelijke publicaties vallen onder het door artikel 10 lid 1 EVRM beschermde recht op vrijheid van meningsuiting.
4.13. Volgens artikel 10 lid 2 EVRM brengt de vrijheid van meningsuiting plichten en verantwoordelijkheden met zich en kan zij daarom “worden onderworpen aan bepaalde (….) beperkingen of sancties, die bij de wet zijn voorzien en in een democratische samenleving noodzakelijk zijn in het belang van de nationale veiligheid, territoriale integriteit of openbare veiligheid, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden, de bescherming van de goede naam of de rechten van anderen, om de verspreiding van vertrouwelijke mededelingen te voorkomen of om het gezag en de onpartijdigheid van de rechterlijke macht te waarborgen.” De door NXP ingestelde vorderingen strekken tot bescherming van haar rechten, te weten enerzijds een haar beweerdelijk krachtens de Auteurswet 1912 toekomend auteursrecht en anderzijds het door artikel 6:162 BW beschermde recht binnen zekere grenzen gevrijwaard te blijven van schade. De vraag is of deze rechten de uitoefening van de vrijheid van meningsuiting door [gedaagde 2] kunnen beperken. Toewijzing van het door NXP gevorderde zou tot een min of meer vergaande beperking van de mogelijkheid tot verspreiding van (wetenschappelijke) informatie leiden. Ook voor zover het bij artikel 6:162 BW gaat om strijd met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, betreft het een recht en daaruit voortvloeiende mogelijke beperking dat bij de wet is voorzien (HR 2 mei 2003, NJ 2004, 80). De vraag spitst zich daarop toe of die beperking in een democratische samenleving noodzakelijk is.
4.14. Om aan te kunnen nemen dat zodanige beperking ‘noodzakelijk’ is in een democratische samenleving zal moeten blijken van een ‘pressing social need’, een dringende maatschappelijke behoefte daaraan. Voorts zal de beperking ‘proportionate to the legitimate aim pursued’ moeten zijn, dat wil zeggen een gerechtvaardigd doel moeten dienen. Hiervoor zal een belangenafweging moeten plaats vinden, rekening houdend met alle concrete omstandigheden van het geval. Afgewogen zullen daarom moeten worden de door NXP voor de toewijzing van het door haar gevorderde ingeroepen belangen waarin zij stelt (onrechtmatig) te worden geschaad en de belangen die ermee zijn gemoeid dat het artikel waarom het gaat openbaar kan worden gemaakt. Zoals hiervoor is overwogen kan in dit kort geding voorshands niet worden aangenomen dat NXP een auteursrecht kan doen gelden op het algoritme van de chip. De afweging van belangen zal daarom aan de zijde van NXP dienen plaats te vinden vanuit het perspectief van haar standpunt dat publicatie jegens haar onrechtmatig zou zijn. Hoewel het bij de beantwoording van de vraag of publicatie onrechtmatig jegens NXP zou zijn erop aankomt in welke eigen (vermogensrechtelijke) belangen NXP benadeeld dreigt te worden, zal in het kader van de door artikel 10 lid 2 EVRM gevergde belangenafweging ook rekening gehouden moeten worden met aldaar genoemde andere belangen dan die van NXP zelf. Omgekeerd is de afweging aan de zijde van RUN c.s. ook niet beperkt tot het persoonlijke belang van [gedaagde 2] of RUN bij publicatie, maar moeten daarbij betrokken worden de maatschappelijke belangen die met de publicatie zijn gemoeid.
4.15. Bij de beoordeling dient voorop gesteld te worden dat
“freedom of expression constitutes one of the essential foundations of a democratic society and one of the basic conditions for its progress and for each individual’s self-fulfilment. Subject to paragraph 2 of Article 10, it is applicable not only to “information” or “ideas” that are favourably received or regarded as inoffensive or as a matter of indifference, but also to those that offend, shock or disturb. Such are the demands of pluralism, tolerance and broadmindedness without which there is no ‘democratic society”. As set forth in Article 10, this freedom is subject to exceptions, which (….) must, however, be construed strictly, and the need for any restrictions must be established convincingly.” (EHRM 25 augustus 1998, NJ 1999,712 (Hertel/Zwitserland). Evenzo onder andere: EHRM 7 december 1976, NJ 1978, 236 (Handyside/Verenigd Koninkrijk); EHRM 6 februari 2001, NJ 2002, 518 (Tammer/Estland); EHRM 13 november 2003, NJ 2004, 338 (Scharsach/Oostenrijk).
Het spreekt voor zich dat wat hiervoor is geciteerd in het bijzonder ook geldt voor publicatie van resultaten van wetenschappelijk onderzoek. De economische en sociale ontwikkeling van de democratische maatschappij wordt in belangrijke mate mede bepaald door wetenschappelijk onderzoek, door de daaruit verkregen inzichten en door de praktische toepassingen daarvan. Dat alles staat of valt met de mogelijkheid van publicatie. Daarvan uitgaande moet reeds in abstracto een bijzonder groot gewicht worden toegekend aan het belang om het artikel te kunnen publiceren.
4.16. Wat betreft de belangen in concreto geldt het volgende. Het gaat hier om een wetenschappelijk onderzoek onder leiding van [gedaagde 2] van de onderzoeksgroep Digital Security van het Institute for Computing and Information Sciences van de Faculteit der Natuurwetenschappen Wiskunde en Informatica van RUN naar de Mifare Classic chip. Zoals bij de feiten is uiteengezet werkt die chip door met behulp van een geheim algoritme en protocol versleutelde gegevens uit te wisselen met een lezer. RUN c.s. hebben gesteld - en dat is kennelijk niet in geschil want NXP heeft dat niet weersproken - dat een van de doelstellingen van het onderzoeksproject is aan te tonen dat een dergelijke geheime versleutelde gegevensuitwisseling, ‘security bij obscurity’, niet werkt en geen deugdelijke beveiliging biedt. Het onderzoek naar de chip en de blootlegging van de zwakke plekken daarin draagt er mede toe bij de onbetrouwbaarheid van deze techniek van electronische beveiliging aan te tonen. Aangezien de hedendaagse maatschappij in hoge mate op het gebruik van electronica is aangewezen en een (deels daaraan inherente) noodzaak tot (electronische) beveiliging kent, is het van groot maatschappelijk belang dat verkregen wetenschappelijke inzichten op dat gebied openbaar worden gemaakt, teneinde daarop voort te kunnen bouwen.
4.17. Verder is er met bekendmaking van de resultaten van het onderzoek ook een directer maatschappelijk belang gemoeid. Van de chip zijn wereldwijd tussen de 500.000.000 en 1.000.000.000 exemplaren afgezet die hoofdzakelijk worden gebruikt in de beveiliging van toegang tot gebouwen en in het openbaar vervoer. Het is van groot belang dat de samenleving er spoedig over geïnformeerd raakt dat de chip, die verondersteld werd een hoge mate van veiligheid te bieden, ernstige manco’s vertoont die maken dat de veiligheid daarvan veel geringer is dan werd aangenomen. Aan de hand van die informatie zal iedereen die het aangaat zich kunnen bezinnen op de vraag welke risico’s worden gelopen en welke maatregelen op welke termijn nodig en mogelijk zijn. Opmerking verdient hierbij dat de hier en in de voorgaande overweging bedoelde belangen bij openbaarmaking niet voldoende worden gediend met slechts een beperkte openbaarmaking van de conclusies uit het onderzoek.
4.18. Voorts verdient op dit punt opmerking dat de juistheid van het onderzoek en de resultaten daarvan zoals die in het artikel worden beschreven, niet in geschil is. NXP erkent dat het onderzoek aan het licht heeft gebracht dat de chip op de beschreven wijze te kraken is en in zoverre intrinsieke manco’s heeft. Zij is ook bereid dat publiekelijk te erkennen. Onderstreept moet dus worden dat van onrechtmatigheid in die zin geen sprake kan zijn dat het artikel op enigerlei wijze onjuiste informatie bevat. NXP beroept zich er echter op dat openbaarmaking van de resultaten van het onderzoek ernstige veiligheidsrisico’s en kans op grote schade met zich brengt en voor haar persoonlijk ook nadelig is in verband met bedrijfsschade en mogelijke claims van afnemers.
4.19. Kenmerkend voor het onderhavige geval is dat in dat belang bij spoedige openbaarmaking ook een potentieel omvangrijk veiligheidsrisico en een kans op omvangrijke schade kunnen zitten die zich juist tegen spoedige openbaarmaking kunnen verzetten. De vraag is of dat hier in concreto zo is. Op zichzelf zijn de partijen het erover eens dat het artikel de weergave bevat van een algoritme en een protocol. RUN c.s. stellen zich op het standpunt dat dat algoritme niet noodzakelijk hetzelfde algoritme is dat in de chip zit. Volgens NXP is dat wel het geval. Dat punt van discussie is in dit opzicht echter van geen belang omdat RUN c.s. bevestigen dat het in het artikel beschreven algoritme precies dezelfde resultaten geeft als dat in de chip. Tot uitgangspunt dient daarom dat het artikel het algoritme en het protocol beschrijven waarmee de geheime versleuteling van de gegevensuitwisseling ontraadseld kan worden. Hoe toegankelijk voor het publiek deze en andere informatie in het artikel precies is en hoe gemakkelijk het precies is in praktische zin gebruik van de informatie te maken, laat zich zonder onderzoek door deskundigen, niet nauwkeurig vast stellen. Uit hetgeen [gedaagde 2] enerzijds en [naam] namens NXP anderzijds bij de mondelinge behandeling hebben verklaard moet worden afgeleid dat het artikel de wiskundige informatie bevat om de chip te kunnen kraken en een beschrijving van hoe dat in zijn werk kan gaan, maar dat de software en de apparatuur die daarvoor en voor het klonen van de chip nodig zijn niet in het artikel worden beschreven en dat die software ook niet ergens kan worden verkregen, maar door degene die praktisch gebruik zou willen maken van de informatie in het artikel zelf ontworpen zal moeten worden. Voor dat laatste zal ongeveer twee maanden werk nodig zijn. Uit hetgeen de beiden verder hebben verklaard moet worden afgeleid dat de informatie alleen ter fine van het ontwerpen van software voor praktisch gebruik te begrijpen valt voor hoog of althans hoger opgeleiden in de informatica. Dat betekent dat niet kan worden aangenomen dat van de informatie, in ieder geval niet op korte termijn, door een breed publiek voor onoirbare praktische toepassingen gebruik kan worden gemaakt. In dit verband heeft NXP gesteld dat het artikel een beschrijving geeft van praktische aanvalsscenario’s. RUN c.s. hebben dat betwist. Volgens [gedaagde 2] bevat het artikel onder het kopje “8. Attacking MIFARE” slechts theoretische, wiskundige beschrijvingen van twee aanvallen. Voorzover de voorzieningenrechter kan nagaan bevatten de twee ‘Attacks’ een in hoge mate theoretisch wiskundige beschrijving, maar bevat het artikel in ieder geval zeker niet een praktische handleiding voor het kraken en klonen van de chip, noch onder punt 8 noch op andere plaatsen.
4.20. Tegen de achtergrond van het voorgaande is de vraag wat de ernst, de aard en de omvang van de praktische risico’s voor misbruik van de informatie en daarmee van de veiligheidsrisico’s en van de kans op schade is. RUN c.s. hebben zich er in dit opzicht herhaaldelijk op beroepen dat eventuele veiligheidsrisico’s en de kans op schade niet een gevolg zijn van publicatie van het artikel, maar van manco’s in de chip. Volgens hen toont het onderzoek aan dat de chip tengevolge van die manco’s vrij gemakkelijk te kraken is en wordt dat toch al bestaande risico niet anders door publicatie van het artikel. Dat standpunt is slechts tot op zekere hoogte juist. Herhaaldelijk zijn pogingen gedaan de chip, die sinds 1995 op de markt is, te kraken. Het is de universitaire onderzoeksgroep van [gedaagde 2] nu voor het eerst gelukt het geheime algoritme en protocol te achterhalen. De conclusie dat het kennelijk nog niet zo eenvoudig was de chip te kraken ligt voor de hand, temeer indien ervan wordt uitgegaan, zoals [gedaagde 2] anders dan NXP stelt, de ‘kraakbaarheid’ van de chip sinds 1995 niet door technologische ontwikkelingen sedertdien is toegenomen. Het valt redelijkerwijs aan te nemen dat het met het achterhalen en het beschrijven van het algoritme en het protocol en de manco’s daarin en de publicatie daarvan in het artikel een stuk makkelijker wordt de chip te kraken. Aangezien de werking van de chip berust op versleuteling met behulp van een geheim algoritme en een protocol, is duidelijk dat de mate van veiligheid in hoge mate bepaald wordt door de geheimhouding. Dat betekent dat de risico’s niet slechts zitten in intrinsieke manco’s van de chip, maar mede veroorzaakt worden door publicatie van het geheime algoritme en protocol en van de daarin ontdekte manco’s. Wel moet in dit opzicht tot op zekere hoogte worden onderscheiden tussen de kans op schade voor NXP en de overige (veiligheids)risico’s. Voorzover het gaat om bedrijfsschade en schade als gevolg van eventuele claims van afnemers, legt die weinig gewicht in de schaal bij de afweging van belangen, omdat die kans op schade in hoge mate toegerekend moet worden aan het produceren en in het verkeer brengen van een chip met intrinsieke manco’s, wat de verantwoordelijkheid van NXP is en niet van RUN c.s. die die manco’s slechts door onderzoek bloot hebben gelegd.
4.21. Daarmee is overigens nog weinig gezegd over de ernst, de aard en de omvang van de veiligheidsrisico’s en de kans op schade voor alle gebruikers. Op zichzelf kan men zich gegeven de omvang van de toepassing die de chip, wereldwijd, heeft gevonden, zeker voorstellingen maken van hetgeen bekend worden van de informatie in het artikel allemaal teweeg zou kunnen brengen. Uitgewerkte doemscenario’s zijn eenvoudig te maken, maar doemscenario’s zijn niet de geëigende grootheden die in het kader van een concrete afweging van belangen als in het kader van artikel 10 lid 2 EVRM wordt gevergd, kunnen worden afgewogen. Zoals ook bij de milleniumbug is gebleken, hebben zij weinig of geen voorspellende waarde over de aard, de ernst en de omvang van de werkelijke risico’s die worden gelopen. Herhaald zij op dit punt dat volgens het EHRM de noodzaak voor beperkingen van de vrijheid van meningsuiting overtuigend dient te worden aangetoond (“the need for any restrictions must be established convincingly”).
4.22. Die noodzaak is hier niet overtuigend aangetoond. RUN c.s. hebben er terecht op gewezen dat de kraakbaarheid van de chip in beveiligingstoepassingen niet op zichzelf beschouwd moet worden, maar in het geheel van de beveiligingsmaatregelen rond de toegang tot gebouwen. Dat de chip een tamelijk vitaal onderdeel zal zijn van die beveiligingsmaatregelen, zal moeilijk ontkend kunnen worden, maar zonder inzicht in de overige aard van beveiligingen waarin de chip is toegepast, kan niet overtuigend worden vastgesteld dat de aard en de omvang van de veiligheidsrisico’s als gevolg van de publicatie van het artikel zo groot zijn dat die, althans voorlopig, achterwege zou moeten blijven. Het had op de weg van NXP gelegen haar standpunt omtrent de risico’s in dit opzicht met meer concrete, door onderzoek naar de beveiligingen waarin de chip is toegepast verkregen, en gedocumenteerde informatie te onderbouwen. Dat zou redelijkerwijs tot op zekere hoogte voor haar mogelijk geweest moeten zijn. NXP heeft zich er nog op beroepen dat uit de door RUN c.s. gevolgde zorgvuldigheidsprocedure volgt dat RUN c.s. zelf ook inzien dat publicatie grote risico’s schept. Bij de mondelinge behandeling heeft RUN er echter op gewezen dat de zorgvuldigheid die zij betracht heeft in de eerste plaats te maken had met het feit dat de chip ernstige manco’s blijkt te hebben. Verder heeft de voorzitter van het college van bestuur van RUN, [naam], in dit verband overigens verklaard dat het conceptartikel in het voorjaar aan de AIVD is voorgelegd en dat de AIVD, ook na overleg met bevriende veiligheidsdiensten, te kennen heeft gegeven dat publicatie van het artikel geen onaanvaardbare veiligheidsrisico’s in het leven roept. NXP heeft de juistheid van die verklaring van [naam] niet weersproken. Wat betreft de toepassing van de chip in het openbaar vervoer ligt de nadruk meer op de kans op financieel nadeel door misbruik dan op veiligheid. Ook over de te verwachten ernst en omvang van dat financieel nadeel, kan bij gebreke van meer concrete informatie in deze procedure weinig worden vastgesteld. Geconstateerd kan wel worden dat omvangrijk financieel nadeel door zwart rijden pas lijkt te zullen ontstaan indien de know how voor het klonen van de chip in de vorm van praktisch hanteerbare apparatuur op grote schaal in het verkeer zou worden gebracht. Onvoldoende is gesteld of gebleken dat die kans binnen afzienbare tijd realistisch is.
4.23. Met dit alles wil overigens natuurlijk niet gezegd zijn dat er geen enkel verhoogd risico is. De risico’s van eenvoudigere kraakbaarheid van de chip met behulp van de informatie in het artikel zullen zich vermoedelijk ook hier en daar gaan verwezenlijken. Dat is tot op zekere hoogte iets dat in een open democratische samenleving zal moeten worden aanvaard. Bedacht dient daarbij te worden dat alternatieven voor de Mifare Classic chip reeds voorhanden zijn, zoals de door RUN c.s. genoemde eveneens contactloze Hitag2 chip, die al sinds 1996 door NXP op de markt wordt gebracht en die de wezenlijke manco’s van de Mifare Classic chip niet heeft. Voorts dat naar verwachting van NXP niet meer dan enkele jaren gemoeid zullen zijn met wereldwijde ‘migratie’ naar beveiligingssystemen met een andere chip, zodat de kans op verwezenlijking van (veiligheids)risico’s ook in tijd is beperkt.
4.24. Tot slot kan mede tegen de achtergrond van het voorgaande niet worden gezegd dat de wijze waarop RUN c.s. hebben gehandeld met de uit het onderzoek naar de chip verkregen informatie (zoals hiervoor bij de vaststaande feiten weergegeven) de belangen van NXP en gebruikers van de chip heeft miskend.
4.25. Alles afwegende kan niet worden geconcludeerd dat de belangen die NXP voor haar vorderingen heeft ingeroepen maken dat publicatie van het artikel jegens haar onrechtmatig is en een overtuigend aangetoonde dringende maatschappelijke noodzaak (pressing social need) opleveren voor beperkingen, zoals door NXP gevorderd, aan het recht van [gedaagde 2] het artikel te publiceren op de voorgenomen termijn in oktober en in de vorm waarin het thans voorligt. Dat [gedaagde 2] zich daarmee aan enige strafbare gedraging zou schuldig maken is door NXP wel in vele toonaarden betoogd, maar kan bij gebreke van enige verdere substantiëring door NXP in het kader van dit kort geding voorshands niet worden aangenomen. De beslissing tot publicatie van het artikel blijft uiteraard de eigen verantwoordelijkheid van [gedaagde 2]. In het kader van dit kort geding is slechts aan de orde dat, het karakter van de onderhavige procedure in aanmerking genomen, niet overtuigend is aangetoond dat het stellen van een beperking aan zijn vrijheid het al of niet te publiceren in het licht van artikel 10 lid 2 EVRM is gerechtvaardigd.
4.26. Uit het voorgaande volgt dat de vorderingen van NXP moeten worden afgewezen. Gelet op deze uitkomst kunnen de mededelingenverboden zoals die op de voet van artikel 29 Rv deels van rechtswege en deels door voorafgaande oplegging door de voorzieningenrechter gelden, goeddeels worden opgeheven, zoals RUN c.s. hebben gevorderd. Het verbod blijft voor beide partijen gehandhaafd voor zover het betreft de inhoud van het artikel zolang het niet is gepubliceerd en voorts, maar alleen ten aanzien van RUN c.s., voor zover het betreft de verklaring van Dipl.-Ing. [naam] van 8 juli 2008 en de verklaring van [naam] van 9 juli 2008, in beide gevallen zonder tijdslimiet. Voor het opleggen van een dwangsom ziet de voorzieningenrechter geen aanleiding.
4.27. Als de in het ongelijk gestelde partij zal NXP worden veroordeeld in de proceskosten. Mr. Kronenberg heeft namens RUN c.s. gevorderd NXP te veroordelen in de werkelijk gemaakte proceskosten als bedoeld in artikel 1019h Rv, voor zover deze betrekking hebben op de auteursrechtelijke grondslag. Ter zitting heeft hij gemotiveerd aangegeven dat deze kosten € 6.500,00 bedragen, exclusief BTW. Mede gelet op het door het LOVC vastgestelde stuk ‘Indicatietarieven in IE-zaken’ wordt dit gevorderde bedrag redelijk en evenredig geacht en zal dan ook worden toegewezen. Ten aanzien van de overige kosten zal het gebruikelijke liquidatietarief worden toegepast. De kosten aan de zijde van RUN c.s. worden derhalve begroot op:
- vast recht € 254,00
- salaris advocaat € 6.500,00 (m.b.t. de auteursrechtelijke grondslag)
- salaris advocaat € 816,00 (m.b.t. de overige kosten)
Totaal € 7.570,00 (exclusief BTW)
5. De beslissing
De voorzieningenrechter:
5.1. wijst de vorderingen af;
5.2. heft op de mededelingenverboden, behoudens ten aanzien van NXP en RUN c.s. voor zover het betreft de inhoud van het artikel zolang het niet is gepubliceerd en voorts, maar alleen ten aanzien van RUN c.s., voor zover het betreft de verklaring van Dipl.-Ing. [naam] van 8 juli 2008 en de verklaring van [naam] van 9 juli 2008;
5.3. veroordeelt NXP in de proceskosten, aan de zijde van RUN c.s. tot op heden begroot op € 7.570,00.
Dit vonnis is gewezen door mr. R.J.B. Boonekamp en in het openbaar uitgesproken in tegenwoordigheid van de griffier mr. M. van Gameren op 18 juli 2008.