2025. október 1-jén léptek hatályba az Elektronikus Egészségügyi Szolgáltatási Térre vonatkozó 40/2025. (IX. 25.) BM rendelet, valamint 294/2025. (IX. 25.) kormányrendelet szabályai.
Elektronikus Egészségügyi Szolgáltatási Térhez (EESZT-hez) csatlakozás kezdeményezése
Létrehozásra került az ún. Szolgáltatóközpont, amely ellátja EESZT-hez csatlakozásra köteles egészségügyi szolgáltatók és csatlakozásra kötelezett más szervezetek EESZT csatlakozásához kapcsolódó műszaki bevizsgálásának feladatait. Erre tekintettel 2025. október 1-jétől az EESZT adatszolgáltatás megkezdésének feltétele a Szolgáltatóközpont általi vizsgálat, valamint a vizsgálat eredményéről kiállított igazolás.
Mindezek alapján a csatlakozást – a csatlakozó adatkezelő által aláírt csatlakozási nyilatkozat benyújtásával – a Szolgáltatóközpontnál kell kezdeményezni.
A Szolgáltatóközpont a csatlakozáshoz szükséges dokumentumokat és nyilatkozatok tervezetét internetes honlapján keresztül vagy más elektronikus formában a csatlakozó adatkezelő rendelkezésére bocsátja. Ennek a csatlakozási nyilatkozatnak tartalmaznia kell
- a csatlakozó adatkezelő nevét, székhelyét,
- a csatlakozásért felelős kapcsolattartó személy nevét és elérhetőségét,
- a csatlakozásban érintett informatikai rendszer vagy rendszerek megnevezését és a csatlakozás időpontjában fennálló verziószámát, a rendszer vagy rendszerek fejlesztőjének megnevezését,
- a csatlakozással kapcsolatos feladatok vállalására vonatkozó nyilatkozatot,
- a biztonsági dokumentumokra vonatkozó titoktartási kötelezettségre, a csatlakozás tesztelésére és az éles üzem megkezdésére, a csatlakozó adatkezelő felelősségére, a költségek viselésére és a csatlakozási folyamat keretében történő együttműködésre vonatkozó nyilatkozatot. (2025. október 1-jétól ez egy új tartalmi rész a csatlakozási nyilatkozatban.)
Megjegyzés: A korábbi csatlakozási megállapodás tartalmazta még az alábbiakat is, amelyek már nem részei az új nyilatkozatnak:
- biztonsági dokumentumokra vonatkozó titoktartási kötelezettségre vonatkozó rendelkezéseket,
- a csatlakozás tesztelésére és az éles üzem megkezdésére vonatkozó szabályokat,
- a felek felelősségére vonatkozó rendelkezéseket,
- költségek viselésére vonatkozó rendelkezéseket, és
- a felek közötti együttműködés szabályait.
Továbbá meg kell említeni, hogy ha a csatlakozó adatkezelő a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény hatálya alá esik, akkor a csatlakozási nyilatkozat tartalmazza a csatlakozásban érintett informatikai rendszer biztonsági osztályát, továbbá érintettség esetén a csatlakozó adatkezelő nyilatkozatát arról, hogy az informatikai rendszer kapcsán külföldi adatkezelést megvalósít-e, illetve nem privát felhőszolgáltatást igénybe vesz-e. A nyilatkozathoz mellékelni kell a Kiberbiztonsági tv. 13. § (1) bekezdése szerinti szervezet esetében a nemzeti kiberbiztonsági hatóság döntését a biztonsági osztályba sorolás jóváhagyásáról, valamint a kiberbiztonsági audit végeztetésére kötelezett szervezet esetében a kiberbiztonsági auditon való megfelelést igazoló dokumentumot.
Mit vizsgál a Szolgáltatóközpont?
A Szolgáltatóközpont a benyújtott csatlakozási nyilatkozatot annak beérkezését követően megvizsgálja és ellenőrzi, hogy a csatlakozó adatkezelő jogosult-e
- csatlakozásra,
- az EESZT szolgáltatásainak igénybevételére, és
- a csatlakozó adatkezelő által megjelölt informatikai rendszer alkalmas-e a csatlakozó adatkezelő működési engedélyében feltüntetett valamennyi tevékenységének támogatására.
A Szolgáltatóközpont a csatlakozó adatkezelőt szükség esetén a hiányok pótlására hívja fel. Ha a csatlakozó adatkezelő a felhívásban megjelölt határidőben nem pótolja a hiányokat, a Szolgáltatóközpont az igazolás kiállítását megtagadja.
A csatlakozó adatkezelő fenti ellenőrzések teljesítését követően elvégzi a csatlakozás sikeres teljesítésének ellenőrzésére szolgáló teszteket és vizsgálatokat. Ha a csatlakozó adatkezelő valamely műszaki vagy egyéb feltételt nem teljesít, a Szolgáltatóközpont a műszaki hiba vagy a nem teljesített követelmény megjelölésével felhívja a csatlakozó adatkezelőt a hiba megszüntetésére vagy a követelmény teljesítésére. A hiba megszüntetésének vagy a követelmény teljesítésének beálltáig az EESZT adatszolgáltatás nem kezdhető meg. Ha a csatlakozó adatkezelő a felhívásban megjelölt határidőben nem pótolja a hiányokat, a Szolgáltatóközpont az igazolás kiállítását megtagadja.
Ha a csatlakozó adatkezelő minden, a működtető által előírt és a Szolgáltatóközpont által közzétett műszaki és egyéb feltételt teljesít, akkor a Szolgáltatóközpont kiállítja az előírt igazolást, melyet megküld a működtető részére.
EESZT-hez csatlakozás
Az EESZT adatszolgáltatás megkezdését a működtető a Szolgáltatóközpont által kiadott igazolás alapján hagyja jóvá. A csatlakozó adatkezelő a jogszabályban meghatározott EESZT adatszolgáltatási kötelezettségeit a jóváhagyást követően teljesítheti.
Ezt követően tekintsük át, hogy milyen szabályok vonatkoznak egészséginformatikai rendszerek fejlesztésére engedélyezésére?
Fejlesztőkre vonatkozó új szabályok
Az informatikai rendszer engedélyezése iránti kérelmet az informatikai rendszerre vonatkozó vagyoni jogokkal vagy az informatikai rendszer továbbfejlesztéséhez szükséges felhasználási jogokkal rendelkező szervezet (fejlesztő) terjeszthet elő. A kérelmet az EESZT működtetőjéhez kell benyújtani. A kérelemnek tartalmaznia kell:
- a fejlesztő nevét, székhelyének címét, adószámát, elektronikus levelezési címét, telefonos elérhetőségét, valamint
- képviselőjének nevét,
- az informatikai rendszer azonosító adatait,
- az informatikai rendszer tervezett, egy vagy több felhasználási területét,
- a fejlesztett EESZT szolgáltatásokat, és
- a Szolgáltatóközpont által kiállított műszaki bevizsgálási támogató véleményt.
Megjegyzés: A kérelem irányulhat valamely felhasználási területre már engedélyezett informatikai rendszer más felhasználási területre történő kibővítésére is. Ha a kérelemmel érintett informatikai rendszer orvostechnikai eszköznek minősül vagy más tanúsítási kötelezettség alá esik, úgy a kérelemhez mellékelni kell az informatikai rendszerre vonatkozó követelményeknek való megfelelést igazoló okiratokat.
A működtető azt az informatikai rendszert engedélyezi EESZT csatlakozásra használható informatikai rendszerként, amely eleget tesz az informatikai rendszer vonatkozásában az informatikai rendszer tervezett felhasználási területére irányadó műszaki követelményeknek, és ezt a Szolgáltatóközpont igazolta.
A működtető az engedélyben feltünteti
- az informatikai rendszer adott felhasználási területét,
- az engedélyezett EESZT szolgáltatásokat, amelyre az engedély vonatkozik, és
- az esetleges fenntartásokat és korlátozásokat.
Az engedély visszavonásig érvényes.
Megjegyzés: Az EESZT működtető a Szolgáltatóközpont útján közzéteszi az engedéllyel rendelkező informatikai rendszerek jegyzékét.
A fejlesztő kötelezettségei
A fejlesztő köteles gondoskodni az engedély – ideértve a támogató véleményt is – alapját képező követelmények folyamatos teljesítéséről az engedélyezett informatikai rendszer továbbfejlesztése, verzióváltása, vagy az EESZT csatlakozás műszaki követelményeinek változása esetén is. Ennek kapcsán a Szolgáltatóközpont
a) az informatikai rendszer fejlesztői részére hozzáférhetővé
- teljesítéséhez szükséges informatikai feltételek műszaki specifikációját, az alkalmazandó információbiztonsági és egyéb követelményeket,
- teljesítésére és igazolására, a fejlesztői öntesztre, az együttműködési képesség tesztelésére vonatkozó részletes szakmai követelményeket és
- változása esetén a célzott felülvizsgálat követelményeit és teszteseteit.
b) az EESZT műszaki specifikációját érintő verzióváltás esetén annak tervezett időpontját megelőzően legalább 60 nappal a fejlesztők számára elérhetővé teszi
- a verzióváltás tervezett időpontját,
- a verzióváltással érintett szolgáltatások körét és
- az új verzióra vonatkozó műszaki leírások elérhetőségét.
A fenti változtatások kapcsán – a Szolgáltatóközpont felhívására – az informatikai rendszer fejlesztője igazolja a megváltozott követelményeknek való megfelelést.
A fejlesztő 8 napon belül bejelenti a működtetőnek, ha az informatikai rendszerváltozások eredményeként nem felel meg az engedélyben foglalt követelményeknek.
Ellenőrzések
Az EESZT működtető a Szolgáltatóközpont bevonásával az informatikai rendszert a csatlakozott adatkezelőkkel való együttműködése keretében, az informatikai rendszer működése közben is ellenőrizheti.
Az informatikai rendszer műszaki megfelelőségét a Szolgáltatóközpont éves ellenőrzési terv alapján ellenőrzi.
A Szolgáltatóközpont célzott vizsgálatot végez
- követelmények változása és
- az informatikai rendszer műszaki átalakítása
esetén.
Az EESZT új szolgáltatásának bevezetése, az informatikai rendszer működésében tapasztalt rendellenesség esetén vagy az EESZT-be történő adatszolgáltatás változása esetén az engedélyben foglaltaknak megfelelés felülvizsgálatát kezdeményezheti
- a működtető
- a Szolgáltatóközpont vagy
- a fejlesztő.
Az EESZT működtető az informatikai rendszer engedélyét visszavonja, ha az informatikai rendszer nem felel meg az engedélyezéshez szükséges feltételeknek. Az EESZT működtető az engedély visszavonását közli a fejlesztővel, a Szolgáltatóközpont egyidejű tájékoztatása mellett. Az engedély visszavonása esetén az EESZT működtető az érintett informatikai rendszer útján csatlakozott adatkezelőt határidő tűzése mellett felhívja engedéllyel rendelkező informatikai rendszer útján való csatlakozásra.
Egészséginformatikai rendszerek műszaki bevizsgálása
A műszaki bevizsgálás lefolytatásának és az eredményes műszaki bevizsgálásról szóló támogató véleménynek feltétele, hogy a fejlesztő regisztrációval rendelkezzen a Szolgáltatóközpont által üzemeltetett felületen, amelynek keretében
- igazolja a Szolgáltatóközpont felé, hogy rendelkezik a regisztrációhoz és a biztonságos, folyamatos fejlesztéshez szükséges, adott feltételekkel, és
- megteszi a szükséges, a Szolgáltatóközpont által közzétett nyilatkozatokat.
Megjegyzés: A Szolgáltatóközpont a regisztrációval rendelkező fejlesztők részére teszi elérhetővé a funkcionális, nem funkcionális és strukturális követelmények dokumentációját.
A Szolgáltatóközpont támogató véleményt állít ki arra vonatkozóan, hogy az adott informatikai rendszer megfelel-e az informatikai rendszer tervezett felhasználási területére irányadó műszaki követelményeknek (műszaki bevizsgálás). A műszaki bevizsgálás során a Szolgáltatóközpont vizsgálja:
- az informatikai rendszernek az EESZT adatbetöltést megvalósító funkcionalitásának működését,
- az informatikai rendszernek az EESZT adat lekérdezést megvalósító funkcionalitásának működését,
- a nem funkcionális követelmények teljesítését és
- a strukturális követelményeknek való megfelelést.
Ha az informatikai rendszer megfelel a követelményeknek, úgy a Szolgáltatóközpont támogató véleményt állít ki, mely tartalmazza:
- az informatikai rendszer típusát és
- az informatikai rendszer felhasználási területét, amelyre a bevizsgálás vonatkozott.
A támogató vélemény érvényességi ideje 3 év.
Kötelezettségek a támogató vélemény kapcsán:
Az informatikai rendszer támogató véleménynek megfelelő állapotát a fejlesztőnek folyamatosan biztosítania kell.
A Szolgáltatóközpont folyamatosan figyelemmel követi, hogy az érintett informatikai rendszer megfelel-e a támogató vélemény alapjául szolgáló követelményeknek. A Szolgáltatóközpont haladéktalanul értesíti az EESZT működtetőt, ha az érintett informatikai rendszer nem felel meg a támogató vélemény alapját képező követelményeknek. Az EESZT működtető ez esetben – a Szolgáltatóközpont bevonásával az érintett informatikai rendszert használó csatlakozó adatkezelők egyidejű értesítése mellett
- határidő kitűzésével felhívja a fejlesztőt a hibák, hiányosságok javítására,
- a határidő eredménytelen eltelte esetén az engedélyt visszavonja.
Meg kell említeni, hogy a Szolgáltatóközpont 2025. november 1-től kezdődően lefolytatja műszaki bevizsgálást, melynek sikeressége esetén a Szolgáltatóközpont kiállítja a támogató véleményt. A műszaki bevizsgálás sikertelensége esetén a Szolgáltatóközpont haladéktalanul értesíti az EESZT működtetőt. Az EESZT működtető – a Szolgáltatóközpont bevonásával az érintett informatikai rendszert használó csatlakozó adatkezelők egyidejű értesítése mellett –
- 6 hónapos határidő tűzésével felhívja a fejlesztőt a hibák, hiányosságok javítására és a támogató vélemény beszerzésére,
- a határidő eredménytelen eltelte esetén az engedélyt visszavonja.
Bejelentési kötelezettség
A fejlesztő 8 napon belül bejelenti a Szolgáltatóközpontnak, ha
- az informatikai rendszer engedélyben feltüntetett adatai megváltoznak,
- az informatikai rendszerben EESZT szolgáltatás igénybevételét érintő verzióváltás, azaz az informatikai rendszer forráskódjának vagy architektúrájának olyan módosítása kerül megvalósításra, amely EESZT szolgáltatás igénybevételét érinti, és amelynek következtében az informatikai rendszer frissítése szükséges az informatikai rendszer üzemeltetőjénél vagy az informatikai rendszert használó csatlakozott adatkezelőnél.
Adatvédelmi incidens
Az EESZT működtetője az EESZT-be az egészségügyi szolgáltatók által feltöltendő adatok tekintetében bekövetkezett adatvédelmi incidens esetén együttműködik az incidensben érintett egészségügyi szolgáltatóval.
Az EESZT működtetője eljárásrendet tartalmazó ajánlást ad ki az EESZT-be az egészségügyi szolgáltatók által feltöltendő adatokat érintő adatvédelmi incidensek és incidensgyanús események esetére az incidens azonosításában, a kockázatok felmérésében, az incidens elhárításához szükséges adminisztratív feladatokban az egészségügyi szolgáltató és az EESZT működtetője közötti együttműködés tekintetében.