Åpenhetsloven

A. Generell informasjon

Organisering

4human består av fire selskap hvor mor er holdingsselskap. De tre andre selskapene lager programvare til det norske og internasjonale markedet.

4human HRM AS lager HRM- systemer som skyløsninger (SaaS). Det innebærer at 4human HRM behandler store mengder med personopplysninger.

4human TQM AS er 100% eid datterselskap av 4human HRM og TQM lager systemer for kvalitet, HMS og ytre miljø som skyløsning (SaaS).

4human QM365 AS er også 100% eid datterselskap av 4human HRM og QM365 lager systemer for kvalitet, HMS og ytre miljø installert på kundens egen MS365 Sharepoint.

Programvare for kvalitet, HMS og ytre miljø innebærer også behandling av personopplysninger i en større skala enn det som er vanlig.

I forbindelse med leveransene av de ulike skyløsningene leverer også 4human konsulenttjenester.

Omsetning i rapporteringsåret 2022

97 millioner kroner

Antall ansatte

70

Aktsomhetsvurderinger og ledelsessystem

4humans arbeid med å opptre ansvarlig og sikre menneskerettigheter og anstendige arbeidsforhold, skal være en fullt ut integrert del av 4humans ledelsessystem. Blant annet er 4humans verktøy for risikovurdering tilpasset og benyttes aktivt til vurdering av risiko for brudd på ansvarlighet. 4humans verktøy for registrering av avvik/hendelser benyttes som intern kanal for rapportering/varsling om avvik knyttet til ansvarlighet. I tillegg er våre etiske retningslinjer oppdatert slik at de omfatter forventninger og krav til ansvarlighet hos våre egne medarbeidere.

4human gjennomfører også jevnlige interessentanalyser og får gjennom dette arbeidet en god oversikt over de ulike interessentene til gruppen og da spesielt forretningspartnerne og leverandørene.

Sammen med interessentanalysen gjennomføres det også SWOT- og PESTEL- analyser.

Alle kunder av 4human undertegner en databehandleravtale og gjennom denne avtalen er det transparent overfor kundene hvem som er leverandører til 4human.

Sertifiseringer

Alle de tre produksjonsselskapene i gruppen er ISO- sertifisert etter ISO 9001, Ledelsessystemer for kvalitet. I tillegg er 4human HRM og datterselskapet 4human TQM ISO- sertifiserte etter ISO 27001/27002, Ledelsessystemer for informasjonssikkerhet, ISO 27018, sikringstiltak for personopplysninger i skyløsninger og ISO 27701, Ledelsessystemer for personvern. 4human bruker DNV som uavhengig sertifiseringsselskap. I internkontrollarbeidet bruker 4human sin egen programvare.

I desember 2019 ble det et absolutt krav fra styret at 4human skulle gå for ISO- sertifisering i kvalitet, informasjonssikkerhet og personvern. I mai 2022 ble 4human ISO-sertifisert og det 3

metodiske og kontinuerlige arbeidet med kvalitet, informasjonssikkerhet og personvern kom offisielt på plass.

Forankring av arbeidet med åpenhetsloven hos styre og ledelse

For styret i 4human har sikkerheten rundt dataene 4human behandler på vegne av kundene alltid vært øverst på prioriteringslisten. Og fra 2022 har også åpenhetsloven vært tema for ledelsen og styret.

B. Negative konsekvenser og risiko

Kartlegging og 4humans påvirkning på mennesker og samfunn

Den største risikoen for 4human knyttet til grunnleggende menneskerettigheter er om de personopplysningene 4human behandler i skyløsningene på vegne av kundene kommer på avveie, det vil si at man får et brudd på personopplysningenes konfidensialitet.

Som følge av dette prioriterer 4human vurdering av forhold knyttet til å ivareta konfidensialiteten til personopplysninger i gruppens skyløsninger og arbeidsforhold hos 4humans viktigste leverandører, med hensyn til ivaretakelse av personopplysninger. I tillegg har man også vurdert 4humans egen virksomhet inkludert leverandøren av IKT- driftsmateriell. Her har 4human også vurdert risiko for negativ påvirkning i forbindelse med håndtering av e-fall. Dette fordi dette er tett knyttet til fare for barnearbeid, generelt dårlige arbeidsforhold og stor påvirkning på ytre miljø.

Aktsomhetsvurderinger (risikovurderinger)

Risiko internt i 4human

4humans aksomhetsvurderinger knyttet til informasjonssikkerhet og personvern i gruppens produkter viser ingen faktiske negative konsekvenser eller vesentlig risiko for negative konsekvenser.

I risikovurderingen som ble gjort i tråd med OECDs veileder ble det identifisert noe risiko knyttet til manglende systematikk rundt arbeid med aksomhetsvurderinger. Flere tiltak er allerede iverksatt se bokstav A i tillegg er flere tiltak planlagt, se bokstav C. 4humans aksomhetsvurderinger i 2022 viser ikke at det er faktiske negative konsekvenser eller vesentlig risiko for negative konsekvenser ved forhold som går på HMS i 4human. I etterkant ser 4human at man bør jobbe noe mer med systematisk HMS-arbeid. Beskrivelse av tiltak under bokstav C.

Risiko knyttet til innkjøp

4humans vesentligste driftsmateriell er PC-er og telefoner. Leveransesituasjonen, spesielt for PC-er, var i 2022 slik at man måtte kjøpe det som var tilgjengelig. 4human har ingen påvirkningskraft når det kommer til utsatte komponenter i PC-er og telefoner. 4human har en policy for innkjøp av PC-er og telefoner, men på grunn av leveransesituasjonen var det ikke mulig å følge denne policyen i 2022. Alle innkjøp av PC-er i 4human går via driftspartneren, Advania. Risikofaktorene knyttet til menneskerettigheter er absolutt til stede. 4human gjorde i 2022 ikke noe knyttet til denne risikoen. Men vil følge opp dette i 2023.

Risiko knyttet til e-avfall

4human hadde i 2022 70 ansatte. Gjennomsnittlig levetid på en PC i 4human er 6 år. Det innebærer at vi kasserer omtrent 12 PC-er i året. Vi har satt ut kassering av PC-er til vår driftspartner Advania ( se mer under Advania).

Informasjon om leverandørkjeden

Advania Norge 46 AS

Leverer kontorstøtte, gir support, drifter og er vert for flere av 4humans skyløsninger.

Aktsomhetsvurderingene viser ingen faktiske negative konsekvenser eller vesentlig risiko for negative konsekvenser med hensyn til ivaretakelse av personopplysninger i våre systemer knyttet til tjenestene som Advania leverer til 4human.

4human finner ingen risiko for brudd på menneskerettigheter eller arbeidsrettigheter knyttet til verken bransje eller geografi. Advania Norge er en norsk leverandør og arbeidskraft innen IKT- er svært etterspurt. 4humans aktsomhetsvurderinger viser heller ingen negative konsekvenser eller vesentlig risiko for negative konsekvenser ved arbeidsforholdene i Advania.

Risiko knyttet til e-avfall

I 2022 opprettet Advania et program for «Responsible e-waste management». Dette systemet for håndtering av e-avfall skal blant annet være med på å sikre at kassering skjer på en sosialt ansvarlig og bærekraftig måte. Dette er et arbeid 4human overvåker gjennom vår leverandøroppfølging av Advania. 4humans aksomhetsvurderinger viser ingen faktiske negative konsekvenser eller vesentlig risiko for negative konsekvenser ved håndtering av e-avfall.

Advanias bærekraftrapport for 2022:

https://25168988.fs1.hubspotusercontent-eu1.net/hubfs/25168988/Com/Documents/Advania%20Group%20Sustainability%20Report%202022.pdf

Xebia sp. Z o.o. (tidligere PGS sp. Z o.o. ble kjøpt av Xebia i 2022), Polen

Leverer utviklingstjenester, har applikasjonsforvaltning og er 4. linje support til 4humans kunder.

4human kjøper utviklingstjenester av Xebia. Alle utviklerne i Xebia som 4human benytter sitter i Polen. Xebias (PGS’) egenerklæring og 4humans aktsomhetsvurderinger viser at det de grunnleggende menneskerettighetene og anstendige arbeidsforhold er ivaretatt i Xebia.

4human aktsomhetsvurderinger viser at konfidensialiteten til personopplysningene Xebia behandlet på vegne av 4human ble ivaretatt på en god måte. Det er altså ikke negative konsekvenser eller vesentlig risiko for negative konsekvenser av Xebias arbeid for 4human.

Polen er på lik linje med Norge omfattet av personvernforordningen og det er ikke negative konsekvenser eller vesentlig risiko for negative konsekvenser av at arbeidet foregår i Polen.

AWS

Plattform for enkelte av 4humans skyløsninger

Produktrisiko

I 4humans aktsomhetsvurderinger av programvareleverandører veier leverandørens forhold til informasjonssikkerhet og personvern tyngst. Og 4humans arbeid med AWS viser at AWS tar 5

dette på det største alvor. 4human kan ikke finne faktiske negative konsekvenser eller vesentlig risiko for negative konsekvenser av AWS arbeid med å bevare personopplysningenes konfidensialitet, integritet og tilgjengelighet.

Serverne som enkelte av 4humans skyløsning ligger på befinner seg i Irland. Og Irland har de samme krav til personvern som i Norge.

4humans aktsomhetsvurderinger viser ingen faktiske negative konsekvenser eller vesentlig risiko for negative konsekvenser for menneskerettigheter eller arbeidsforhold.

Amazon Global Human Rights Principles:

https://sustainability.aboutamazon.com/society/human-rights/principles

Microsoft (MS Azure)

Plattform for enkelte av 4humans skyløsninger.

Produktrisiko

I 4humans aktsomhetsvurderinger av programvareleverandører veier leverandørens forhold til informasjonssikkerhet og personvern tyngst. Og 4humans arbeid med MS Azure viser at Microsoft tar dette på det største alvor.

4humans løsninger hos Microsoft ligger på ulike datasentre innenfor EU.

4human finner ingen faktiske negative konsekvenser eller vesentlig risiko for negative konsekvenser av Microsoft Azures arbeid med å bevare personopplysningenes konfidensialitet, integritet og tilgjengelighet.

4humans aktsomhetsvurderinger viser ingen faktiske negative konsekvenser eller vesentlig risiko for negative konsekvenser for menneskerettigheter eller arbeidsforhold.

Microsoft Corporate Social Responsibility:

https://www.microsoft.com/en-us/corporate-responsibility/human-rights

C. Tiltak

Et høyt nivå på informasjonssikkerheten og et godt personvern har over mange år vært et prioritert arbeid for 4human. Informasjonssikkerheten og personvernet er vurdert til å være godt ivaretatt.

4human har både gjennom sitt ledelsessystem og de ulike løsningenes supportsystem varslingsmuligheter om noen skulle oppdage brudd på grunnleggende menneskerettigheter og anstendige arbeidsforhold. 4human har også et eget personvernombud med kontaktinfo tilgjengelig på 4humans hjemmeside.

Pågående og planlagte tiltak

4humans prosesser for innkjøp og evaluering og oppfølging av leverandører er under oppdatering blant annet for å sikre at vurdering av ansvarlighet hos 4humans leverandører og forretningsforbindelser vurderes i tilstrekkelig grad før inngåelse av nye kontrakter og innkjøp fra nye leverandører, samt ved større endringer hos eksisterende leverandører. Fremover vil arbeidet med aktsomhetsvurderinger således være en integrert del av 4humans ledelsessystem.

Fornyet fokus på internt HMS-arbeid er også et prioritert område i 2023.

Vurdering av effekt av gjennomførte og planlagte tiltak

Evaluering av 4humans arbeid med ansvarlighet vil på samme måte som andre områder følges opp via allerede etablerte prosesser i 4humans ledelsessystem som for eksempel interne revisjoner og ledelsens gjennomgang.

Vedtatt i styremøte 4human Invest AS, 3. juli 2023