Martin Ernst bloghoved

Dissektion af en business case: Er NEM-ID app’en en succes?

Illustration: Mobilsiden.dk

Jeg er overbevist om at mange af Version2s læsere har stiftet bekendtskab til Nem-ID app’en, som blev lanceret af Digitaliseringsstyrelsen og Finansdanmark for et halvt år siden den 29. maj 2018. Denne app blev et supplement til de papkort, som vi kender så godt, samt den dongle flere af os har købt for at undgå at løbe tør for numre på det før nævnte papkort.

Det har længe være på min ”ønskeseddel” at undersøge, hvad business casen bag denne app var – og netop nu hvor app’en er et halvt år gammel, må gevinstrealiseringen være i fuldt flor.

App’en i sin enkelthed

Til dem af jer, som ikke kender den, så er funktionaliteten ganske enkel. I stedet for papkortet (eller dongle) med de 6 cifre, så giver man i log ind vinduet besked om, at man vil bruge app’en for godkendelse. Man åbner app’en og autentiserer sig, og 1,5 sekund senere er du logget ind. Det går rimelig hurtigt.

Jeg synes, det er nemt og bekvemt – og har ikke oplevet problemer med det. Det samme påpeger den undersøgelse, som Digitaliseringsstyrelsen og Nets selv har foretaget af app’en, hvor 91% er tilfredse eller meget tilfredse med løsningen. I mine samtaler med Digitaliseringsstyrelsen, så forstår jeg, at en del af kritikken især vedrører rootede devices, når man læser vurderingerne i Apple's og især Googles app stores. Men Nem-Id app’en kan ikke lide rootede devices, da man på den måde bryder med den sikkerhed, som er nødvendig for en løsning som denne. Og sikkerheden skal være i orden, for ellers vil alle parter, som bruger Nem-Id som autentifikation, miste tilliden til produktet. Dette har tidligere været behandlet i en Version2 artikel. Og om noget så kunne det få kommentarsporet til at gløde.

Business casen bag app’en?

Denne app er et super eksempel på, at det er vigtigt at investere i gode borgerrettede løsninger – uden der nødvendigvis kan påvises en positiv finansiel gevinst i business casen. For gode løsninger koster – og da denne løsning er et gratis produkt for os borgere, så må nogen andre betale for løsningen.

Uanset, hvordan man vender og drejer det, så øger man TCO (Gartners begreb, Total Cost of Ownership) ved at administrere en Nem-Id løsning i det sekund, at man valgte at indføre dette alternativ.

Mine erfaringer fra den årlige business case undersøgelse er, at sådanne initiativer i den offentlige sektor oftest bliver finansieret ved en intern procesforbedring (som så resulterer i fyringer). Intet kunne være mere forkert at gøre. Business casen er bare, at der nu er etableret et godt og tilsvarende alternativ til de to kendte måder at logge på med NemID. Successen skal måles et andet sted.

Hvad er værdien?

Stor, mener jeg. Men det skal ikke være igennem den allerede kendte metode AMVAB (som jeg på ingen måde er fan af). Denne metode har jeg behandlet i to blogs tidligere på året ”Dissektion af en business case: Digital Post, NemLog-in og NemIDs hemmelighed – og de muligheder jeg ser” og ”Dissektion af en business case: Digital Post, NemLog-in og NemIDs hemmelighed – Part II”. AMWAB er ganske enkelt en metode, som prøver at værdisætte den byrdelettelse, som gerne skulle finde sted hos erhvervslivet.

Denne app giver lækkerhedsværdi og viser, at det offentlige netop kan lave en tidssvarende løsning. Og den spiller! Men give en byrdelettelse som er markant – det gør den ikke. Og det skal den heller ikke tillægges, for det vil være så forkert.

Hvor ville man evt. kunne hente en besparelse?

Jeg kunne tænke den tanke, at en eller begge af de eksisterende måder (papkortet og donglen), kunne udfases og dermed skabe en besparelse på omkostningerne ved at administrere Nem-Id som en helhed (det førnævnte TCO).

I den forbindelse havde jeg en god snak med Adam Lebech, vicedirektør i Digitaliseringsstyrelsen, som sagde til mig:

”Meningen med denne app er ikke at udfase de kendte måder, som man kan bruge til at logge på. Vi har gjort en dyd ud af at sikre, at løsningerne spiller sammen for det første. For det andet, at selve nøglekort løsningen (papkortet) har været med til at sikre udbredelsen og succesen af Nem-Id løsningen, så det giver ingen mening at få den udfaset. Formålet med app’en er netop at give et tilsvarende alternativ til de to kendte løsninger. På samme måde, som man oplever i f.eks. lufthavnen, så skal der ikke kun være en måde, man kan check-in på.”.

Mht. lufthavnsanalogien kunne man evt. tilføje, at der ikke kun skal være en måde at tjekke ind på, da effektiviseringen netop ligger i at flytte flest mulige over til de digitale kanaler i stedet for personlig betjening. Hvis flyselskabet fx sparede deres indtjekningsmaskiner i lufthavnen væk, og sagde, at alle skulle tjekke ind hjemmefra, ville der nok være flere, der endte med at søge personlig betjening i lufthavnen.

Det giver god mening. Men så er vi tilbage til det væsentlige – god service koster, og hvordan sikrer Digitaliseringsstyrelsen, at de får en gevinst ud af det? Noget, hvor man med rette kan erklære dette en succes?

Gevinstrealiseringen – hvordan går det?

For at svare på det spørgsmål … hvordan kan vi så erklære app’en en succes mere objektivt?
Adam Lebech siger til mig, at app’en blev downloaded en mio. gange de første måneder. Det kunne være succeskriteriet? Jeg har også fået oplyst, at nøgleapp-brugere bruger NemID 30% mere end dem uden appen. I oktober var der 6.611.603 mio. nøgleapp-transaktioner (ca. 213.000 om dagen). 16% af alle to-faktor logins foretages nu med nøgleapp. Det tal stiger for hver dag.
Det er helt sikkert meget fine tal. Faktisk er det svært at forholde sig til, da tallene skal holdes op i mod den forventede prognose, som er en del af business casens gevinstrealiseringsplan. Sker der den adoptering af appen, som man forventede? Stiger antallet af ”logons” som prognosticeret?

Næsten alle danskere har en smart phone så konservativt skulle der være 4-4,5 mio. smartphone brugere. Det taget i betragtning, så er det ikke en super høj adoptionsgrad, hvor ”kun” lidt over 1 mio. smartphone brugere har downloaded appen. Dvs. ca. hver fjerde dansker. Vigtigst er ikke hvor mange, der har downloaded den – men hvor mange som bruger den. Så er det nok hver femte, som bruger app’en lige nu. Det er ikke prangende – set isoleret.

En høj adoptionsgrad er vel også mest interessant, hvis man ønsker at udfase de alternativer, som man har i forvejen. Og det er ikke lige det, som er tanken her – det er tænkt som et tidssvarende alternativ, så der er ingen grund til at bruge penge på at få en større adoptionsgrad. For det koster penge at gennemføre adfærdsændring – og adfærdsændring er nødvendig for større adoptionsgrad. Penge kan fint bruges et andet sted i den offentlige sektor, antager jeg.

Jeg synes ikke, at jeg helt har fået svar på, om vi kan erklære denne app en succes med de KPI’er eller målepunkter, som jeg har fået udleveret af Digitaliseringsstyrelsen. Det er lidt synd. Men denne app deler skæbner med 1000 vis af andre initiativer, som er et super godt produkt, men hvor der ikke er blevet opstillet et klart succeskriterie – og efterfølgende er realisering af dette succeskriterie blevet offentliggjort. Uanset om man har gået over eller under målet.

For når man starter projektet, så må man da have et mål, man har skudt efter. Og hvis man ikke rammer skiven, så må man justere våbnet og skyde igen. Og igen til man rammer. Det bør der ikke være noget flovt i. For når projektet starter, så står skydeskiven 700 m væk – det er hammer svært at ramme præcist. Derfor arbejder vi altid med tolerancer, når vi taler om estimering. Og vi skal vurdere via KPI’er om vi rammer skiven, og hvis ikke, så skal vi have ”ledelsesmæssige korrektioner” på banen.

Hvad er næste skridt?

Adam sagde, at løsningen bliver gentænkt i forbindelse med udbredelse af det nye MitID.
Mht. udfasning af nøglekortet bør det tilføjes, at en naturlig udfasning vil ske med den eksisterende NemID-infrastruktur, da det allerede igangsatte udbud af MitID, skal afløse NemID til sin tid.

Her skal man bare huske, at selve sammenhængen mellem gevinster og enabler bliver det samme – dvs. man kan ikke tage de samme gevinster hjem.

Behandling af MitID bliver helt sikkert et emne i en senere blog.

Relateret indhold

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niels Buus

Jeg ville kigge på hvor mange gange app'en erstatter en sekscifret kode fra papkortet. Og ud fra det vil jeg så regne mig frem til hvor mange papkort jeg har slippet for at producere og hvor meget porto jeg har sparet - der var en konkret gevinst. Jeg ville måske også kigge på hvor mange supporthenvendelser der drejer sig om manglende levering af papkort eller mistet papkort, og så beregne en gevinst her.

Og så er jeg nok ikke helt enig i at der ikke er noget at komme efter i forhold til at spare tid hos virksomheder og borgere.

Hvis vi antager at det tager 5 sekunder i gennemsnit at logge ind med app (tage telefon op, åbne NemID app og swipe), mens det tager 20 sekunder med papkort (tage tegnebog frem, tage papkort ud, aflæse hvilken kode der skal bruges, finde koden på kortet, og indtaste den, afvente bekræftelse på login og pak herefter kort og tegnebog væk), så kunne man sige at der er sparet 15 sekunder på hvert to-faktor auth. Og så kan man prøve at værdiansætte hvad 15 sekunder koster i virksomheder. Og så mener jeg også at borgernes tid har værdi for borgerne, så derfor skal der også værdiansættes på hvad 15 sekunder koster der. 15 sekunder måske af lidt, men ganget op på millioner af brugere, så tror jeg nu nok det bliver anseeligt.

De 15 sekunder beror selvfølgelig på en antagelse, så et forstudie i hvor meget ekstra tid henholdsvis app og papkort påfører et flow er krævet for at komme med nogle seriøse tal.

Mikael Boldt

ingenting!

Sidst jeg fik tilsendt et nøglekort med 120 koder var 14. juli 2015.
Jeg har stadigvæk 25 tilbage.

Det er den samme mængde spiltid jeg har, når jeg en gang imellem går i køkkenet og tilbage, fordi jeg har glemt, hvad det var jeg skulle.

Ikke al min tid skal være produktiv. Ikke alle sekunder i livet skal eller kan bruges rationelt.

Det er samme argument som blev brugt for at det offentlige skulle spare tid ved at indføre digitalpost og derfor summede sammen hvor lang tid det tog en ansat at lukke en kuvert og klistre frimærke på. Den tid kunne så bruges på noget andet. Det er bare ikke sket og besparelsen er ikke eksisterende.

Klavs Klavsen

Nu har jeg personligt valgt IKKE at have den app.. Der er alt for mange cases på at hackere lykkedes med at inficere mobilenheder og får de root på min mobil - mangler de kun at aflure mit brugernavn/kodeord til bankkontoen og så er jeg solgt. Min mobil er jo hele tiden på internettet og især Android har jo en forfærdelig sikkerhedshistorik.

En sådan app er IMHO en skæv balance og sætter alt for høj tillid til mobile enheder, som tydeligt har vist at de ikke kan anses som værende sikre.

Jeg ville langt hellere have en RSA type nøgle, eller YubiKey type nøgle (helst det sidste - så jeg kunne have min private nøgle derpå :)
f.ex. NFC enhed, man lige kunne "bonke imod sin mobil" - når man skal bruge en ny nøgle.

I mangel af den slags betydeligt sikrere løsninger, så er jeg glad for papkortet i det mindste - så man har noget fysisk der ikke kan stjæles over computeren :)

Kasper Hansen

Jeg synes ikke der er belæg for at sige der ikke er en business case med målbare tal eller at den ikke er opfyldt og jeg synes ikke der er belæg for at sige at en femtedel af brugerne på denne løsning ikke er "prangende". Det virker på mig som et helt igennem fornuftigt succeskriterie at satse på 1 mio brugere af denne løsning. Succeskriteriet er ikke sparede penge men en høj adoptionsgrad - og det er dette for en helt ny måde at authencitere.

Jeg synes i øvrigt heller ikke argumenter om root er særligt fornuftigt for det har præcis intet at gøre med sikkerheden i denne app. Det er kun (marginalt) relevant hvis du mistror brugeren af telefonen - som fx i en direkte betalingsapp og tror at denne måtte ønske at bedrage dig. For så vidt det svækker nogen sikkerhed er det alene brugerens ansvar. Men det bliver vi nok ikke enige om.

Jan Heisterberg

Jeg læste forleden om den nye station på Fyn, og det tab den påfører samfundt i sin levetid. Et væsentligt input var de tre minutters togforsinkelse.

Det fik mig til at tænke på, hvordan disse kvantificeringer af fordele og ulemper laves og de parametre som benyttes.
Måske er det vigtigt at være realistisk - og ikke altid samlebånds-effektivitetsmåler som dengang det var moderne.

Hvis den nævnte app koster x mio kr. i udvikling og y mio kr. i drift, OG der kan påvises et fald på z mio kr. i svindel, så ville jeg se om x+y<z, men jeg ville IKKE glemme den subjektive faktor: forargelsen over svindel eller fravalg af anvendelse af alternativet (papkort).

Måske skal der også være plads til forhold som ikke kvantificeres.
Det er derfor der er en nummerholder hos bageren - danskernes "retfærdighedssans" er tiltalt af "retfærdig rækkefølge" - så må bageren bære udgiften til nummerholder og hvad deraf følger.

Papkort virke lige så dumt og gammeldags, som kun blåt lys i rejsekortstanderne. Det er hverken et spørgsmål om pris, payback eller alt muligt andet.

Baldur Norddahl

Sidst jeg fik tilsendt et nøglekort med 120 koder var 14. juli 2015.
Jeg har stadigvæk 25 tilbage.

Der er meget stor forskel på hvor meget forskellige personer er nødt til at bruge systemet. Selv har jeg fire forskellige nem id og brugte et nøglekortet op på et år, cirka. Nu sparer app'en de to mest brugte nøglekort.

Den største fejl i app'en er at man kun kan have et almindeligt nem id og et bank nem id. Derfor har jeg stadig to papkort tilbage.

Jan Me

NemID appen kan ikke køres på "rooted" telefoner. Jeg har også oplevet at appen ikke kunne installeres på helt nye telefoner fra fabrikken.

Jeg håber bestemt ikke, at dette bliver en trend i software. Det virker helt dystopisk at jeg ikke selv må vælge hvilket software jeg må køre på mine enheder.

Jeg forstår at der skal mange flere sikkerhedsovervejelser til med en rooted telefon, men er det ikke mit eget valg i sidste ende?

Kim Nilsson

Som bruger føler jeg Nemid app'en er en gevinst der rækker længere ud end forskellen mellem kort og App.
Jeg er sikker på flere apps med nemid adgang har fået højere trafiktal end før.
Jeg har dog ikke nogen reel fakta at bakke det op med, andet end jeg kan se mit eget trafikmønster er ændret og jeg f.eks. nu oftere besøger e-boks og andre sites hvor jeg før skulle hive kortet med koderne frem.
Men det er selvfølgelig bare en personlig observation. Det kan selvfølgelig være andre har andre oplevelser?

Log ind eller Opret konto for at kommentere