Lagen om insyn

A. Allmän information

Organisation

4human består av fyra bolag där moderbolaget är holdingbolag. De övriga tre bolagen producerar programvara för den norska och internationella marknaden.

4human HRM AS skapar HRM-system som molnlösningar (SaaS). Detta innebär att 4human HRM behandlar stora mängder personuppgifter.

4human TQM AS är ett helägt dotterbolag till 4human HRM och TQM skapar system för kvalitet, HMS och yttre miljö som en molnlösning (SaaS).

4human QM365 AS är också ett helägt dotterbolag till 4human HRM och QM365 skapar system för kvalitet, HMS och yttre miljö installerat på kundens egen MS365 Sharepoint.

Programvara för kvalitet, HMS och omvärld innebär också behandling av personuppgifter i större omfattning än vad som är brukligt.

I samband med leverans av de olika molnlösningarna tillhandahåller 4human även konsulttjänster.

Intäkter under rapporteringsåret 2022

97 miljoner norska kronor

Antal anställda

70

Tillsynsbedömningar och ledningssystem

4humans arbete med att agera ansvarsfullt och säkerställa mänskliga rättigheter och anständiga arbetsvillkor ska vara en fullt integrerad del av 4humans ledningssystem. Bland annat har 4humans riskbedömningsverktyg anpassats och används aktivt för att bedöma risken för ansvarsbrister. 4humans verktyg för registrering av avvikelser/incidenter används som en intern kanal för rapportering/notifiering av avvikelser relaterade till ansvarstagande. Därutöver har våra etiska riktlinjer uppdaterats med förväntningar och krav på ansvarstagande hos våra egna medarbetare.

4human genomför också regelbundet intressentanalyser och får genom detta arbete en god överblick över koncernens olika intressenter, inte minst affärspartners och leverantörer.

Tillsammans med intressentanalysen genomförs även SWOT- och PESTEL-analyser.

Alla kunder till 4human tecknar ett personuppgiftsbiträdesavtal och genom detta avtal är det transparent för kunder vilka som är leverantörer till 4human.

Certifieringar

Alla tre tillverkande bolag i koncernen är ISO-certifierade enligt ISO 9001, Ledningssystem för kvalitet. Därutöver är 4human HRM och dess dotterbolag 4human TQM ISO-certifierade enligt ISO 27001/27002, Ledningssystem för informationssäkerhet, ISO 27018, Säkerhetsåtgärder för personuppgifter i molnlösningar och ISO 27701, Ledningssystem för integritet. 4human använder DNV som oberoende certifieringsbolag. I sitt internkontrollarbete använder 4human egen programvara.

I december 2019 blev det ett absolut krav från styrelsen att 4human skulle gå mot ISO-certifiering inom kvalitet, informationssäkerhet och integritet. I maj 2022 var 4human ISO-certifierade och de 3

Ett metodiskt och kontinuerligt arbete med kvalitet, informationssäkerhet och integritet infördes officiellt.

Förankra arbetet med transparenslagen hos styrelse och ledning

För styrelsen i 4human har säkerheten för de uppgifter som 4human behandlar för sina kunders räkning alltid varit högst upp på prioriteringslistan. Och från 2022 har transparenslagen också varit ett ämne för ledningen och styrelsen.

B. Negativa konsekvenser och risker

Kartläggning och 4humans påverkan på människor och samhälle

Den största risken för 4human i förhållande till grundläggande mänskliga rättigheter är om de personuppgifter som 4human behandlar i molnlösningarna för sina kunders räkning kommer på avvägar, dvs. att det sker ett brott mot personuppgiftssekretessen.

Detta har medfört att 4human prioriterar bedömningen av villkor relaterade till skydd av konfidentialitet för personuppgifter i koncernens molnlösningar och arbetsvillkor hos 4humans viktigaste leverantörer, med avseende på skydd av personuppgifter. Därutöver har även 4humans egen verksamhet bedömts, inklusive leverantören av ICT-utrustning. Här har 4human även bedömt risken för negativ påverkan i samband med hanteringen av elavfall. Detta eftersom det är nära kopplat till risk för barnarbete, allmänt dåliga arbetsförhållanden och stor påverkan på den yttre miljön.

Prudentiella bedömningar (riskbedömningar)

Intern risk i 4human

4humans beteendemässiga bedömningar avseende informationssäkerhet och integritet i koncernens produkter visar inga faktiska negativa konsekvenser eller betydande risk för negativa konsekvenser.

I den riskbedömning som genomfördes i enlighet med OECD:s vägledning identifierades viss risk relaterad till bristande systematik i arbetet med aktivitetsbedömningar. Flera åtgärder har redan genomförts, se punkt A, och fler åtgärder planeras, se punkt C. 4humans aktivitetsbedömningar under 2022 visar inte att det finns faktiska negativa konsekvenser eller en betydande risk för negativa konsekvenser i förhållande till HMS hos 4human. Därefter ser 4human att de bör arbeta något mer med systematiskt HMS-arbete. Beskrivning av åtgärder under bokstav C.

Risker i samband med inköp

4humans viktigaste driftmaterial är datorer och telefoner. Under 2022 var leveranssituationen, särskilt för PC, sådan att vi var tvungna att köpa det som fanns tillgängligt. 4human har inget inflytande när det gäller sårbara komponenter i datorer och telefoner. 4human har en policy för inköp av datorer och telefoner, men på grund av leveranssituationen var det inte möjligt att följa denna policy under 2022. Alla inköp av datorer i 4human går genom driftspartnern Advania. Riskfaktorerna relaterade till mänskliga rättigheter är definitivt närvarande. Under 2022 har 4human inte gjort något relaterat till denna risk. Men kommer att följa upp detta under 2023.

Risker relaterade till e-avfall

År 2022 hade 4human 70 anställda. Den genomsnittliga livslängden för en dator hos 4human är 6 år. Det innebär att vi avyttrar cirka 12 datorer per år. Vi har outsourcat avyttringen av datorer till vår operativa partner Advania (se mer under Advania).

Information om leveranskedjan

Advania Norge 46 AS

Levererar kontorssupport, ger support, driftar och hostar flera av 4humans molnlösningar.

Riskbedömningarna visar inga faktiska negativa konsekvenser eller betydande risk för negativa konsekvenser med avseende på skyddet av personuppgifter i våra system relaterade till de tjänster som Advania levererar till 4human.

4human finner ingen risk för brott mot mänskliga rättigheter eller arbetsrätt relaterat till vare sig bransch eller geografi. Advania Norge är en norsk leverantör och det råder stor efterfrågan på arbetskraft inom ICT. 4humans due diligence-bedömningar visar inte heller på några negativa konsekvenser eller betydande risk för negativa konsekvenser av arbetsförhållandena hos Advania.

Risker relaterade till e-avfall

Under 2022 etablerade Advania ett program för "Ansvarsfull hantering av elavfall". Detta system för hantering av elavfall ska bland annat bidra till att säkerställa att avyttringen sker på ett socialt ansvarsfullt och hållbart sätt. Detta är ett arbete som 4human bevakar genom vår leverantörsuppföljning av Advania. 4humans verksamhetsbedömningar visar inga faktiska negativa konsekvenser eller betydande risk för negativa konsekvenser vid hantering av elavfall.

Advanias hållbarhetsrapport för 2022:

https://25168988.fs1.hubspotusercontent-eu1.net/hubfs/25168988/Com/Documents/Advania%20Group%20Sustainability%20Report%202022.pdf

Xebia sp. Z o.o. (tidigare PGS sp. Z o.o. förvärvades av Xebia 2022), Polen

Tillhandahåller utvecklingstjänster, applikationshantering och 4:e linjens support till 4humans kunder.

4human köper utvecklingstjänster från Xebia. Alla Xebia-utvecklare som används av 4human är baserade i Polen. Xebias (PGS') självdeklaration och 4humans due diligence visar att grundläggande mänskliga rättigheter och anständiga arbetsvillkor säkerställs i Xebia.

4humans due diligence visar att sekretessen för de personuppgifter som Xebia behandlat för 4humans räkning har skyddats på ett bra sätt. Det finns således inga negativa konsekvenser eller betydande risk för negativa konsekvenser av Xebias arbete för 4human.

Polen omfattas, liksom Norge, av dataskyddsförordningen och det finns inga negativa konsekvenser eller betydande risk för negativa konsekvenser av att arbetet sker i Polen.

AWS

Plattform för några av 4humans molnlösningar

Produktrisk

I 4humans due diligence-bedömningar av mjukvaruleverantörer väger leverantörens inställning till informationssäkerhet och integritet tungt. Och 4humans arbete med AWS visar att AWS tar 5

detta med största allvar. 4human kan inte finna några faktiska negativa konsekvenser eller betydande risk för negativa konsekvenser av AWS ansträngningar att bevara konfidentialiteten, integriteten och tillgängligheten av personuppgifter.

Servrarna där några av 4humans molnlösningar finns finns i Irland. Och Irland har samma integritetskrav som Norge.

4humans due diligence visar inga faktiska negativa konsekvenser eller betydande risk för negativa konsekvenser för mänskliga rättigheter eller arbetsvillkor.

Amazon Global Human Rights Principles:

https://sustainability.aboutamazon.com/society/human-rights/principles

Microsoft (MS Azure)

Plattform för några av 4humans molnlösningar.

Produktrisk

I 4humans due diligence-bedömningar av mjukvaruleverantörer väger leverantörens inställning till informationssäkerhet och integritet tungt. Och 4humans arbete med MS Azure visar att Microsoft tar detta på största allvar.

4humans lösningar hos Microsoft finns i olika datacenter inom EU.

4human finner inga faktiska negativa konsekvenser eller betydande risk för negativa konsekvenser av Microsoft Azures arbete med att bevara konfidentialitet, integritet och tillgänglighet för personuppgifter.

4humans due diligence visar inga faktiska negativa konsekvenser eller betydande risk för negativa konsekvenser för mänskliga rättigheter eller arbetsvillkor.

Microsofts sociala ansvarstagande:

https://www.microsoft.com/en-us/corporate-responsibility/human-rights

C. Åtgärder

En hög nivå av informationssäkerhet och ett gott dataskydd har varit en prioritet för 4human under många år. Informationssäkerhet och integritet anses vara väl tillgodosedda.

Genom både ledningssystemet och de olika lösningarnas stödsystem har 4human möjlighet till visselblåsning om någon upptäcker brott mot grundläggande mänskliga rättigheter och anständiga arbetsvillkor. 4human har även ett eget dataskyddsombud med kontaktuppgifter som finns tillgängliga på 4humans hemsida.

Pågående och planerade åtgärder

4humans processer för inköp samt utvärdering och uppföljning av leverantörer uppdateras för att bland annat säkerställa att bedömningen av ansvarstagandet hos 4humans leverantörer och affärspartners utvärderas på ett adekvat sätt inför ingående av nya avtal och inköp från nya leverantörer samt vid större förändringar av befintliga leverantörer. Framöver kommer arbetet med due diligence således att vara en integrerad del av 4humans ledningssystem.

Förnyat fokus på internt HMS-arbete är också ett prioriterat område under 2023.

Utvärdering av effekten av genomförda och planerade åtgärder

Utvärdering av 4humans arbete med ansvar kommer, på samma sätt som övriga områden, att följas upp via redan etablerade processer i 4humans ledningssystem, såsom internrevisioner och ledningens genomgång.

Antagen på styrelsemöte 4human Invest AS den 3 juli 2023