AI Act az orvosi rendelőben: mire kell felkészülnie egy magyar magánkórháznak 2026 augusztusig
Rovat: Jog & Compliance · Szerző: Boros Réka · 2026-05-20 · 7 perc olvasás
A magyar magánkórházi szektor három éve használ AI-eszközöket. 2026. augusztus 2-án mindegyikre új szabály vonatkozik. A felkészülésre két-három hónap kell — jövő tavasszal hat-nyolc.
A magyar magánkórházi szektor három éve használ AI-eszközöket — radiológiai képértékelő, hangrögzítős dokumentációs rendszer, betegtriázs chatbot. 2026. augusztus 2-án mindegyikre új szabály vonatkozik. Az EU AI Act ekkortól általánosan alkalmazandó. A magas kockázatú kategóriába eső rendszerek pontosan ott vannak, ahol egy korszerű klinika dolgozik.
A jó hír: a felkészülésre még van idő. A rossz: aki augusztusban kezdi, késő. A magyar piacon ez a felkészülés most két–három hónapot vesz igénybe, jövő tavasszal hat–nyolc lesz, és a kijelölt szervezetek (notified body) torlódni fognak.
A tét: nem csak bírság
Egy AI-rendszer nem-megfelelő használata az AI Act szerint magas kockázatú kategóriában 15 millió EUR-ig terjedő bírságot vagy a globális árbevétel 3%-át jelenti (Art. 99). Egy közepes magyar magánkórház esetén ez elméleti összeg. A valós kockázat más: a NEAK-finanszírozott ellátásból való időszakos kizárás, vagy egy adatvédelmi incidens nyilvánosságra hozása. Reputációs szempontból ez sokkal komolyabb.
Egy konkrét piaci jelzés: az európai egészségügyi kutatási konzorciumok 2025 második felében elkezdték kérni a partner-klinikáktól az AI-rendszereik AI Act-megfelelési dokumentációját. Aki nem tudta felmutatni, kiesett a konzorciumi keretből. Magyar és cseh klinikák is érintettek. A piac szankcionál, jóval a hatóság előtt.
Mit szabályoz az AI Act egy kórházban
A rendelet két szerepkört különböztet meg:
Provider — aki az AI-rendszert fejleszti vagy forgalmazza. Egy magyar kórház ritkán provider, kivéve, ha saját fejlesztésű klinikai döntéstámogató szoftvert üzemeltet.
Deployer — aki használja. Minden olyan kórház, amelyik megvásárolt egy AI-rendszert és klinikai munkafolyamatba illesztette, deployer.
A kórház legtöbb felelőssége a deployer-szerepkörhöz kapcsolódik. Ez konkrétan négy dolgot jelent.
1. Klinikai AI-leltár
Az első lépés egy strukturált felmérés. Sok klinika nem tudja, mennyi AI-eszköze van. Nem mindegy: a PACS-rendszerbe integrált képértékelő AI, a hangrögzítős dokumentációs rendszer, a chatbot a weboldalon és a betegidőpont-foglaló prediktív komponense egy-egy önálló AI-rendszer. Mindegyikre külön kell vizsgálni az AI Act-besorolást.
A leltár szerkezete:
- A rendszer neve és verziója
- A provider neve és EU-képviselője
- A felhasználási cél
- Magas kockázatú-e (AI Act Art. 6)
- CE-jelölés és konformitás-értékelés státusza
Ezt egy táblázatos dokumentumban érdemes vezetni. Egy közepes magyar magánkórházban általában 4–7 ilyen rendszer van.
2. Emberi felügyelet rögzítése
Az AI Act Art. 14 megköveteli, hogy a magas kockázatú rendszereket emberi felügyelet alatt használják. Ez nem új a klinikai gyakorlatban — egyetlen felelős orvos sem hagyná, hogy egy gép döntsön a beteg helyett. Az új követelmény az, hogy ezt dokumentálni is kell.
Gyakorlatban: minden AI-támogatott klinikai döntéshez kell tartoznia egy aláírt orvosi kontroll-lépésnek. Egy radiológiai AI ajánlása csak akkor kerülhet a leletbe, ha a leletező radiológus jóváhagyta. Ez logikusnak tűnik, de meglepően sok klinikán a gyakorlat ma „az AI csinálja, az orvos átfutja". A kettő közötti különbség jogilag jelentős.
3. FRIA — a kötelezően új hatásvizsgálat
Itt van a magánkórházak legnagyobb meglepetése. Az AI Act Art. 27 szerinti alapjogi hatásvizsgálat (FRIA — Fundamental Rights Impact Assessment) kötelező a deployer számára. Akkor, ha:
- Közjogi szerv, vagy közszolgáltatást nyújtó magánjogi szerv,
- és Annex III magas kockázatú rendszert alkalmaz.
A NEAK-finanszírozott ellátást nyújtó magánkórház a közszolgáltatás-nyújtó magánjogi szerv kategóriába tartozhat. A „tisztán magán" magánkórház esetében ez kérdéses, de a határvonal nem éles, és egy hatóság szigorúbban értékelhet.
💡 Tipp: a FRIA struktúrájában 80%-ban átfed a GDPR Art. 35 szerinti adatvédelmi hatásvizsgálattal (DPIA). Egy integrált DPIA-FRIA dokumentum mindkét kötelezettséget egyszerre lefedi. Aki most kezdi a DPIA-felülvizsgálatot, építse be a FRIA-elemeket is.
4. Incidens-bejelentés négy csatornán
Ha egy AI-rendszer hibája szövődménnyel járó orvosi eseményhez vezet, négy különböző hatóság felé kell bejelentést tenni:
- NAIH felé 72 órán belül (ha személyes adatok érintettek)
- Piacfelügyeleti hatóság felé 2, 10 vagy 15 napon belül (AI Act, a súlyosságtól függően)
- OGYÉI felé 2, 10 vagy 15 napon belül (ha az AI-rendszer orvostechnikai eszköz is)
- NBSZ NKI felé 24–72 órán belül (ha kiberbiztonsági szempont is van)
Ez nem új kötelezettség mind a négy esetén, de az összehangolt protokoll kialakítása új feladat. A magánkórházak ma jellemzően vagy egy bejelentést sem tudnak elindítani, vagy mindet egyszerre indítják, koordinációs hibákkal.
A felkészülés ütemterve
A magyar magánkórházaknak három fázisú felkészülést javaslunk a 2026. augusztusi határidőig.
0–30 nap: AI-leltár elkészítése, érintett rendszerek besorolása, providerek megkeresése a CE-megfelelési dokumentumokért. Egy IT-vezető és egy orvos-igazgató fél napos egyeztetés alatt megtudja a vázat.
30–90 nap: integrált DPIA-FRIA hatásvizsgálatok elkészítése a magas kockázatú rendszerekre. Egy rendszer felmérése jellemzően 3–5 nap, dokumentációval együtt. Ehhez érdemes külső compliance-tanácsadót bevonni.
90–365 nap: emberi felügyeleti eljárásrendek (SOP) bevezetése, incidens-protokoll megírása, belső képzés az orvosi és asszisztens kollégáknak. Ez a leghosszabb és legalulbecsültebb rész.
Ördög ügyvédje: tényleg jön ez augusztusban?
Két jogos ellenérv van.
Egy: az EU 2026 májusában megállapodott egy Digital Omnibus VII csomagról, amely a magas kockázatú AI-szabályok alkalmazási dátumát a támogató szabványok elérhetőségéhez kötheti. Ez a gyakorlatban csúszást jelenthet. De: a megállapodás formális elfogadása folyamatban van, az átláthatósági szabályok (Art. 50) változatlanul 2026 augusztusában kezdődnek, és a FRIA-kötelezettség sem mozdul.
Kettő: a magyar piacfelügyeleti hatóság még nincs kijelölve. Tehát ki fog ellenőrizni? A válasz: senki, egy ideig. De a GDPR esetében sem a NAIH-ellenőrzés volt a fő motivátor. Az ügyfelek és partnerek által támasztott elvárás vitte előre a felkészülést. Az AI Act-tel hasonló dinamika várható.
Eszközök, források
| Mit | Hol |
|---|---|
| AI Act teljes szövege magyarul | EUR-Lex: Regulation (EU) 2024/1689 |
| Magas kockázatú rendszerek besorolási útmutatója | Bizottsági iránymutatás, 2026 első félév |
| DPIA-sablon NAIH-iránymutatással | naih.hu |
| MDR-AI Act integrált értékelési útmutató | MDCG 2019-11 (frissítés várható) |
Mit tegyen most az olvasó
Egy konkrét lépés a jövő hétre: nyisson egy táblázatot, sorolja fel az összes AI-eszközét, és nézze meg, melyikre van CE-jelölés és melyikre nincs. Akinek egyetlen rendszerére sincs, vagy a provider EU-képviselője nem ismert, ott azonnali tisztázás kell. Ez nem AI Act-felkészülés, ez túlélési alap.
A magyar magánkórházi szektor szerencsére abban a helyzetben van, hogy egyetlen 2026-os év alatt fel tud készülni az AI Act-re. Ehhez nem új technológia kell, hanem strukturált dokumentáció és néhány nehéz, de elkerülhetetlen folyamat-átalakítás.
A piac különbséget fog tenni két magánkórház között: a felkészültek és a többiek között. A különbség nem 2026 augusztusában lesz látható, hanem 2027 tavaszán, amikor a partnerek (biztosítók, nemzetközi együttműködések, kutatási konzorciumok) elkezdik kérni a megfelelési bizonyítványokat.
Egy év múlva már nem lehet rákészülni — vagy fel van készülve, vagy nincs.
A szerző Boros Réka, a Loop Magazin senior szerkesztője. A cikk a Niviloop EU compliance gyakorlatának tapasztalataira épül.