40/2025. (IX. 25.) BM rendelet
az Elektronikus Egészségügyi Szolgáltatási Térrel kapcsolatos részletes szabályokról szóló 39/2016. (XII. 21.) EMMI rendelet módosításáról
[1] A Kormány elkötelezett az egészségügyi adatvagyon biztonságos gyarapítása és megőrzése mellett, mely cél elérését szolgálja az Elektronikus Egészségügyi Szolgáltatási Térhez való csatlakozásra használható intézményi informatikai rendszerekkel kapcsolatos ellenőrzések hatékonyságának növelése, az ezen rendszereket fejlesztőkkel szemben támasztott magas szintű szakmai és adatbiztonsági követelmények érvényesítése, a műszaki bevizsgálást végző ellenőrzési szerepkörének erősítése, és az adatszolgáltatások folyamatos megfelelő műszaki színvonalának biztosítása.
[2] Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 38. § (2) bekezdés o) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 66. § (1) bekezdés 26. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. § (1) Az Elektronikus Egészségügyi Szolgáltatási Térrel kapcsolatos részletes szabályokról szóló 39/2016. (XII. 21.) EMMI rendelet [a továbbiakban: 39/2016. (XII. 21.) EMMI rendelet] 3. § (2) bekezdés e) pontja helyébe a következő rendelkezés lép:
(A csatlakozási megállapodásnak tartalmaznia kell legalább)
"e) a biztonsági dokumentumokra vonatkozó titoktartási kötelezettségre, a csatlakozás tesztelésére és az éles üzem megkezdésére, a csatlakozó adatkezelő felelősségére, a költségek viselésére és a csatlakozási folyamat keretében történő együttműködésre vonatkozó nyilatkozatot,"
(2) A 39/2016. (XII. 21.) EMMI rendelet 3. § (3)-(8) bekezdése helyébe a következő rendelkezés lép, és a § a következő (9) és (10) bekezdéssel egészül ki:
"(3) Ha a csatlakozó adatkezelő a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) hatálya alá esik, a csatlakozási nyilatkozat tartalmazza a csatlakozásban érintett informatikai rendszer biztonsági osztályát, továbbá érintettség esetén a csatlakozó adatkezelő nyilatkozatát arról, hogy az informatikai rendszer kapcsán külföldi adatkezelést megvalósít-e, illetve nem privát felhőszolgáltatást igénybe vesz-e. A nyilatkozathoz mellékelni kell a Kiberbiztonsági tv. 13. § (1) bekezdése szerinti szervezet esetében a nemzeti kiberbiztonsági hatóság döntését a biztonsági osztályba sorolás jóváhagyásáról, valamint a Kiberbiztonsági tv. 16. § (1) bekezdése alapján kiberbiztonsági audit végeztetésére kötelezett szervezet esetében a kiberbiztonsági auditon való megfelelést igazoló dokumentumot.
(4) A csatlakozást a csatlakozó adatkezelő az általa megfelelően aláírt csatlakozási nyilatkozat benyújtásával a Szolgáltatóközpontnál kezdeményezi.
(5) A Szolgáltatóközpont a (4) bekezdés szerint benyújtott csatlakozási nyilatkozatot annak beérkezését követően megvizsgálja, és ellenőrzi, hogy a csatlakozó adatkezelő az Eüak. és e rendelet alapján jogosult-e csatlakozásra, az EESZT szolgáltatásainak igénybevételére, és hogy a csatlakozó adatkezelő által megjelölt informatikai rendszer alkalmas-e a csatlakozó adatkezelő működési engedélyében feltüntetett valamennyi tevékenységének támogatására. A Szolgáltatóközpont a csatlakozó adatkezelőt szükség esetén a hiányok pótlására hívja fel. Ha a csatlakozó adatkezelő a felhívásban megjelölt határidőben nem pótolja a hiányokat, a Szolgáltatóközpont az igazolás kiállítását megtagadja.
(6) A csatlakozó adatkezelő az (5) bekezdés szerinti ellenőrzések teljesítését követően elvégzi a csatlakozás sikeres teljesítésének ellenőrzésére szolgáló teszteket és vizsgálatokat.
(7) Ha a csatlakozó adatkezelő valamely műszaki vagy egyéb feltételt nem teljesít, a Szolgáltatóközpont a műszaki hiba vagy a nem teljesített követelmény megjelölésével felhívja a csatlakozó adatkezelőt a hiba megszüntetésére vagy a követelmény teljesítésére. A hiba megszüntetésének vagy a követelmény teljesítésének beálltáig az EESZT adatszolgáltatás nem kezdhető meg. Ha a csatlakozó adatkezelő a felhívásban megjelölt határidőben nem pótolja a hiányokat, a Szolgáltatóközpont az igazolás kiállítását megtagadja.
(8) Ha a csatlakozó adatkezelő minden, a működtető által előírt és a Szolgáltatóközpont által közzétett műszaki és egyéb feltételt teljesít, a Szolgáltatóközpont ennek megállapítását követően kiállítja a 2. § (2) bekezdése szerinti igazolást, melyet megküld a működtető részére.
(9) Az EESZT adatszolgáltatás megkezdését a működtető a Szolgáltatóközpont 2. § (2) bekezdése szerint kiadott igazolása alapján hagyja jóvá.
(10) A csatlakozó adatkezelő a jogszabályban meghatározott EESZT adatszolgáltatási kötelezettségeit a (9) bekezdés szerinti jóváhagyást követően teljesítheti."
2. § A 39/2016. (XII. 21.) EMMI rendelet 3/A. § (2)-(4) bekezdése helyébe a következő rendelkezés lép:
"(2) A Szolgáltatóközpont az informatikai rendszer fejlesztői részére hozzáférhetővé teszi az (1) bekezdés szerinti követelmények
a) teljesítéséhez szükséges informatikai feltételek műszaki specifikációját, az alkalmazandó információbiztonsági és egyéb követelményeket,
b) teljesítésére és igazolására, a fejlesztői öntesztre, az együttműködési képesség tesztelésére vonatkozó részletes szakmai követelményeket és
c) változása esetén a célzott felülvizsgálat követelményeit és teszteseteit.
(3) A Szolgáltatóközpont az EESZT műszaki specifikációját érintő verzióváltás esetén annak tervezett időpontját megelőzően legalább hatvan nappal a fejlesztők számára elérhetővé teszi
a) a verzióváltás tervezett időpontját,
b) a verzióváltással érintett szolgáltatások körét és
c) az új verzióra vonatkozó műszaki leírások elérhetőségét.
(4) A (3) bekezdés szerinti változás alapján a Szolgáltatóközpont felhívására az informatikai rendszer fejlesztője igazolja a megváltozott követelményeknek való megfelelést."
3. § A 39/2016. (XII. 21.) EMMI rendelet I. Fejezete a következő 7/A. alcímmel egészül ki:
"7/A. A Szolgáltatóközpont közreműködése
11/A. § A működtető e rendeletben meghatározott feladataiban a Szolgáltatóközpont a központi egészséginformatikai szolgáltatásokról szóló kormányrendelet alapján megkötött közszolgáltatási szerződésben és adatfeldolgozói szerződésben meghatározottak szerint közreműködik."
4. § A 39/2016. (XII. 21.) EMMI rendelet
a) 2. § (2) bekezdésében a "működtető" szövegrész helyébe a "központi egészséginformatikai szolgáltatásokról szóló kormányrendelet szerinti Szolgáltatóközpont (a továbbiakban: Szolgáltatóközpont)" szöveg,
b) 3. § (1) bekezdésében a "megállapodás" szövegrész helyébe a "dokumentumokat" szöveg és a "működtető" szövegrész helyébe a "Szolgáltatóközpont" szöveg,
c) 3. § (2) bekezdésében a "megállapodásnak" szövegrész helyébe a "nyilatkozatnak" szöveg
lép.
5. § Hatályát veszti a 39/2016. (XII. 21.) EMMI rendelet
b) 3. § (2) bekezdés f)-i) pontja,
e) 6. melléklete.
6. § Ez a rendelet 2025. október 1-jén lép hatályba.
Dr. Pintér Sándor s. k.,
belügyminiszter