Dirkzwager stond Radboud Universiteit bij in spraakmakend kort geding om NXP-chip

Enkele onderzoekers van de Radboud Universiteit Nijmegen hadden in maart 2008 ontdekt dat de Mifare Classic chip enkele fundamentele zwakheden bevatte. Met meer dan één miljard verkochte exemplaren is dit één van de meest gebruikte chips voor RFID-toepassingen, zodat deze ontdekking wereldwijd een zeer grote impact kon hebben. De onderzoekers wilden hierover publiceren in oktober 2008 op een wetenschappelijk congres in Spanje, om zo het publiek te waarschuwen voor dit potentiële gevaar. NXP probeerde deze publicatie met een kort geding tegen te houden, omdat volgens hen juist publicatie een gevaar zou kunnen opleveren.

Bescherming van de chip

Bij het ontwerp van de chip had NXP er voor gekozen om de chip te beveiligen met een geheime methodiek. NXP hoopte dat door niemand over deze methodiek te vertellen, de beveiliging stand zou houden (‘security by obscurity’). De onderzoekers van de universiteit hadden nu juist door de werking van de chip kritisch te observeren en daarbij enkele op ervaring gebaseerde aannames te doen, die geheime beveiliging van de chip blootgelegd (althans in ieder geval iets ontdekt dat functioneel gezien werkte). Een van de vragen was in hoeverre de beveiliging van de chip juridisch gezien te beschermen was.

NXP had nooit een octrooi of een ander absoluut recht van intellectuele eigendom op deze beveiliging aangevraagd of verkregen. De universiteit had bovendien niets gekraakt, maar slechts kritisch geobserveerd (zoals een vreemde taal ook geleerd kan worden door te luisteren naar sprekers van die taal). NXP betoogde dat zij het auteursrecht had op de beveiliging van deze chip en dat in het bijzonder op het daarbij gebruikte algoritme. Namens de universiteit heeft Dirkzwager met succes aangevoerd dat een algoritme slechts een functionele wiskundige formele is, waarbij geen sprake is van enige creatieve keuzes zodat van een auteursrecht geen sprake kan zijn. Hierin ging de voorzieningenrechter in dit kort geding mee.

Vrijheid van meningsuiting van groter belang

NXP kon daarmee geen rechten van intellectuele eigendom inroepen in deze zaak. Daarom deed zij een beroep op het algemene leerstuk van de onrechtmatige daad. NXP voerde aan dat publicatie van het artikel tot grote maatschappelijke schade zou kunnen leiden.

Namens de universiteit voerde Dirkzwager aan dat de vrijheid van meningsuiting in dit geval veel zwaarder weegt, aangezien het van groot publiek belang is dat in onze democratische maatschappij open en eerlijk over zwakheden in een dergelijk veelgebruikte chip gesproken kan worden. Dit beroep op de vrijheid van meningsuiting was succesvol.

De vrijheid van meningsuiting verplicht de rechter tot het wegen van de belangen in de casus. Het belang van NXP was gelegen in het voorkomen van voornamelijk haar bedrijfsschade. De rechter merkt op dat de kans op die schade “in hoge mate toegerekend moet worden aan het produceren en in het verkeer brengen van een chip met intrinsieke manco’s, wat de verantwoordelijkheid van NXP is en niet van RUN c.s. die die manco’s slechts door onderzoek bloot hebben gelegd”. Anders gezegd: als er al schade zou kunnen optreden, had NXP die vooral aan zichzelf te wijten door een product met achterhaalde beveiliging (nog steeds) op de markt te brengen.

Het belang van de universiteit op het in vrijheid en op transparante en controleerbare wijze aan de kaak kunnen stellen van grote maatschappelijke misstanden werd door de rechter (veel) zwaarder gewogen: “Aangezien de hedendaagse maatschappij in hoge mate op het gebruik van electronica is aangewezen en een (deels daaraan inherente) noodzaak tot (electronische) beveiliging kent, is het van groot maatschappelijk belang dat verkregen wetenschappelijke inzichten op dat gebied openbaar worden gemaakt, teneinde daarop voort te kunnen bouwen. Het is van groot belang dat de samenleving er spoedig over geïnformeerd raakt dat de chip, die verondersteld werd een hoge mate van veiligheid te bieden, ernstige manco’s vertoont die maken dat de veiligheid daarvan veel geringer is dan werd aangenomen. Aan de hand van die informatie zal iedereen die het aangaat zich kunnen bezinnen op de vraag welke risico’s worden gelopen en welke maatregelen op welke termijn nodig en mogelijk zijn. Opmerking verdient hierbij dat de hier en in de voorgaande overweging bedoelde belangen bij openbaarmaking niet voldoende worden gediend met slechts een beperkte openbaarmaking van de conclusies uit het onderzoek.”

Onderzoek gepubliceerd

Het congres waarop de onderzoekers het artikel wilden publiceren vond plaats op 6 – 10 oktober 2008 in Malaga, Spanje. Op de 1e dag van het congres is om 14.30 uur het artikel gepubliceerd en dit heeft opnieuw de nodige belangstelling van de media gekregen. Een ieder die dit (zeer wiskundige) artikel zelf wil nalezen kan dit nu doen via diverse websites, waaronder via de eigen website van de onderzoeksgroep op het adres http://www.dzw.gr/7bc92 (klikken op “ESORICS paper”).