Dataintegritet i Atlassian Cloud: vad du bör tänka på

Flytten från Atlassian Data Center till Cloud är ett strategiskt beslut med konsekvenser som sträcker sig långt bortom infrastrukturen. En av de mest förbisedda är dataintegriteten. Det handlar inte om Atlassians plattform i sig, utan allt som körs ovanpå den.

Det räcker inte att Atlassian Cloud uppfyller era säkerhets- och compliance-krav. Varje app ni installerar är en separat aktör. Och det är där problemen ofta uppstår.

Tredjepartsappar är den verkliga riskexponeringen

Atlassian Marketplace innehåller tusentals tillägg. De flesta organisationer har ett tiotal eller fler installerade, ofta ackumulerade över år utan en systematisk genomgång.

Varje app som hanterar data i er Atlassian-miljö är en tredjepartsprocessor. Under GDPR innebär det att ni behöver ett personuppgiftsbiträdesavtal (DPA) med leverantören. Det låter enkelt. I praktiken stöter ni på tre vanliga problem:

Leverantören vägrar teckna DPA. Det händer, särskilt med mindre appleverantörer eller appar från marknader utanför EU. En sådan app kan vara affärskritisk, men den skapar juridisk exponering som är svår att motivera inför en tillsynsmyndighet.

DPA:t täcker inte er dataresidensplan. Atlassian låter er välja dataresidensregion (EU, USA, Australien m.fl.). Men om en apps leverantör processar data i en annan region eller via underleverantörer ni inte känner till, spelar er valda residensregion mindre roll.

Appen är aktiv men ingen vet varför. Gamla appar som installerades av en tidigare administratör, för ett projekt som avslutades för två år sedan, med behörighet till projektdata ni inte längre tänker på. Det är mer regel än undantag.

Hur ni utvärderar appar inför och efter migrering

Oavsett om ni precis migrerat eller fortfarande planerar flytten bör ni göra en applista-granskning. Tre frågor per app:

1. Är den aktivt använd? Titta på installationsloggar och användningsstatistik om det finns. En oanvänd app med full dataintegrationsåtkomst är ett onödigt risktagande.

2. Vilken data hanterar den och var? Läs appens datapolicy och, om möjligt, dess underprocessorlista. Fråga er: om den här appen läckte data, vad skulle faktiskt exponeras?

3. Har leverantören ett godkänt DPA? Atlassians Marketplace App Trust-program identifierar leverantörer som uppfyller höga integritetsstandarder. Det är en bra startpunkt. Men programdeltagande ersätter inte ett eget avtal. Be alltid om ett DPA och granska det.

Vad detta innebär konkret i en DC→Cloud-migrering

En migrering är det bästa tillfället att göra en ren genomgång. Ni behöver ändå inventera era appar för att avgöra vilka som har Cloud-ekvivalenter och vilka som kräver alternativ. Lägg till ett dataintegritetslager på den inventeringen: för varje app ni beslutar att ta med till Cloud, verifiera DPA-status och dataresidenskompatibilitet innan ni konfigurerar om.

Det är mycket lättare att göra det i planeringsfasen än att retroaktivt hantera en app som är driftsatt i produktionsmiljö utan godkänt avtal.

Läs mer om hur vi strukturerar den här processen som en del av vår DC→Cloud-migreringstjänst, eller se vår genomgång av varför partnerstöd lönar sig i en Cloud-migrering.

Löpande förvaltning, inte engångsprojekt

Dataintegritetsarbetet slutar inte vid migreringen. Appar uppdateras, leverantörer byter ägare, era compliance-krav förändras. En rimlig rutin:

• Vid varje ny app: Granska DPA och dataresidenskompatibilitet innan installation godkänns
• Årsvis: Gå igenom hela applistan med samma tre frågor som ovan
• Vid leverantörsbyte eller förvärv: Kontrollera om DPA:t fortfarande gäller med den nya ägaren

Organisationer som behandlar detta som en levande process, inte ett projekt att bocka av, har betydligt enklare att hantera tillsynsgranskningar och interna revisionskrav.

Har ni frågor om dataintegritet i er Atlassian-miljö? Kontakta oss så hjälper vi er navigera både teknik och regelverk.