Kié a kulcs? A KRÉTA-ügy minden cégvezetőnek szól
Loop Magazin · Jog & Compliance · Gellai Róbert
Új kormány, régi rendszer. A KRÉTA-vita most az átvilágításról szól, de a tanulság nem politikai. Ez egy tankönyvi eset szállítói függőségről és adatkoncentrációról — pontosan az a két kockázat, amit egy KKV-vezető a saját szerződéseiben is alábecsül.
A Köznevelési Regisztrációs és Tanulmányi Alaprendszert 2018 eleje óta szinte minden állami iskolában kötelező használni. Egy ország diákjainak adatai egy rendszerben, egy cégnél. Érdemes megnézni, mit jelent ez, mielőtt a sajátodban ugyanezt építed fel.
A 7 milliárdos napló
A szoftvert 2015-ben nettó 728 millió forintért fejlesztették. A fenntartás azóta sokkal többe kerül. A Telex feltárása szerint az üzemeltető EduDev Zrt. és a Klebelsberg Központ 2025 februárja és 2028 januárja között több mint 21 milliárd forintot költ terméktámogatásra. Ez évi 7 milliárd felett van.
A szerződéseket egyszereplős közbeszerzéseken nyerte a cég. Az indoklás mindig ugyanaz: a feladatot csak az EduDev teljesítheti, mert a jogok az övéi. A szerzői, a továbbfejlesztési és a terméktámogatási jog mind egy kézben van.
Nézd a költségpályát egyetlen mondatban. Fejlesztés 2015-ben: 728 millió. Üzemeltetés ma: évi 7 milliárd felett. Az Opten szerint a cégnek 2024-ben közel 8 milliárd forint nettó árbevétele volt, jórészt állami megrendelésből. A tulajdonosi körben ott van Fauszt Zoltán, Palkovics László volt mesterségesintelligencia-kormánybiztos egykori üzlettársa. A pénz és a jog ugyanahhoz az asztalhoz fut be.
A jogi alap gyenge. A köznevelési törvény nem nevezi meg a Krétát. A kötelező használat egy 2024-es törvénymódosításból és egy 2018-as miniszteri jóváhagyásból ered. Ez utóbbinak a Telex szerint újságcikkeken kívül nincs hivatalos nyoma.
Mennyire sérülékeny most az adat
A kérdésre van hatósági válasz. 2022 szeptemberében adathalász-támadás érte a fejlesztőt, az akkori eKRÉTA Informatikai Zrt.-t. A támadók hozzáfértek a forráskódhoz és a belső kommunikációhoz is.
A NAIH 2024-es határozata szerint több mint 20 000 ember személyes adata biztosan illetéktelen kezekbe került. A cég nem tudta bizonyítani, hogy a több millió felhasználónál ez nem történt meg. A hatóság 110 millió forint bírságot szabott ki. Részben azért, mert az incidenst nem jelentette be az érintett iskoláknak.
A forráskód kiszivárgása külön tétel. Ha a kód kikerül, a támadó nem kívülről próbálkozik, hanem belülről ismeri a rendszer gyenge pontjait. Egy zárt, egy cégnél tárolt kódbázisnál ezt a kockázatot nehéz független szemmel ellenőrizni.
Ez a koncentráció ára. Egy integrált rendszer előnye és kockázata ugyanaz: ha elesik, mindenki elesik. 2021-ben a Covid-lezárás első reggelén a rendszer összeomlott, és sok helyen ellehetetlenítette a távoktatást.
⚠️ Figyelem: A „minden egy helyen" nem biztonsági funkció. Ez egyetlen támadási felület, egyetlen kiesési pont. Minél több adat fut át egy rendszeren, annál drágább egyetlen hiba.
Mekkora a tulajdonos mozgástere
A lock-in nem üzemzavar. Üzleti modell. Ha a forráskód és a jogok egy magáncégnél vannak, a tulajdonos három tőkeáttételt tart a kezében: az árat, a funkciókat és az adathozzáférést.
Friss példa a terjeszkedés. Az EduDev üzenetet küldött az iskoláknak, hogy később a Krétán keresztül adminisztrálják a közétkeztetést is. A Telex szerint erre nincs jogalapjuk, és még a Belügyminisztériumot sem tájékoztatták. Aki a gerincet birtokolja, új szolgáltatásokat tud rákötni — kérdés nélkül.
| Mit látunk a KRÉTA-nál | Mit kérdezz a saját szállítódtól |
|---|---|
| Forráskód egy magáncégnél | Kié a forráskód, van-e letét (escrow)? |
| Egyszereplős közbeszerzés | Mennyi a kilépés valós költsége? |
| Adatszivárgás késői jelzéssel | Hány órán belül kell incidenst jelentenie? |
| Új modulok jogalap nélkül | Mihez nyúlhat hozzá a szerződésen túl? |
„Ha AI alapú lenne, jobb lenne?" — rossz kérdés
Az AI nem old meg strukturális problémát. Emeli a tétet.
Egy oktatási értékelő vagy lemorzsolódás-előrejelző rendszer az EU AI Act III. melléklete (Annex III) szerint magas kockázatú kategóriába esik. A Digital Omnibus utáni menetrendben a magas kockázatú kötelezettségek határideje 2027. december 2. Vagyis egy AI-alapú napló nem könnyebb eset, hanem szigorúbb.
Az AI több adatot kér, és érzékenyebbet. Profilt épít, viselkedést jelez előre. Az üzemeltető maga is ebbe az irányba tart: a Telexnek azt írta, a jövő az adatok „intelligensebb felhasználásáról" szól. Ez nem kevesebb adatvédelmi felelősség. Több.
Az „AI-alapú" jelző marketing, nem garancia. Egy okosabb napló is ugyanazt kérdezi: kié a kód, kié az adat. A modell lehet a legmodernebb — ha a kulcs egy magáncég kezében marad, a függőség egy lépést sem mozdult.
Lehet-e kellően biztosítani az adatot?
Technikailag igen. De a biztonság itt nem technológia. Irányítás.
A működő kontrollok közismertek:
- Adatminimalizálás — csak az gyűljön, ami a feladathoz kell.
- Titkosítás nyugalmi és átviteli állapotban egyaránt.
- Független forráskód-audit és forráskód-letét (escrow) egy harmadik félnél.
- Nevesített aladatfeldolgozók az adatfeldolgozói szerződésben (DPA).
- Kilépési záradék és adathordozhatóság, géppel olvasható formátumban.
- Szerződéses incidensbejelentési határidő — órákban, nem napokban.
Nézd meg a listát. Egyik sem „AI-funkció". Mind szerződés és governance. Az AI a fenti pontok közül egyet sem ad ingyen — viszont mindegyiket sürgetőbbé teszi.
Ördög Ügyvédje
Erősítsük meg az ellenérvet, ne gyengítsük. Az egységes rendszer olcsóbb, és összehasonlítható adatot ad, mintha 30 párhuzamos napló futna. Igaz. Az országos lemorzsolódás csak közös adatból mérhető.
Most vezessük tovább. Ha az érték az egységesség, akkor a forráskódnak és az adatnak államinak vagy nyíltnak kell lennie. Különben az egységesség haszna a tulajdonosé, a kockázata a felhasználóé. A közös adatigény nem indokol magántulajdonú zárt kódot. Itt szakad el a logika — és pont itt van a sztori.
Mit viszel haza ebből
Nincs KRÉTA-d. De van CRM-ed, számlázód, HR-rendszered, talán már egy AI-asszisztensed is. A kérdés ugyanaz, csak kisebb léptékben.
Kérdezd meg holnap a három mondatot: Kié a forráskód? Ki fér az adathoz, és milyen alvállalkozókon át? Mi történik az adatommal, ha felmondok? Ha ezekre nincs írott válasz a szerződésben, ugyanabban a függőségben ülsz, mint az iskolák — csak rólad nem ír a Telex.
Egy fél napos szerződés-átvilágítás megmondja, hol a saját kulcsod. A Niviloop ehhez ad ingyenes ellenőrzőlistát a niviloop.hu/audit oldalon.
A KRÉTA tanulsága nem az AI. Az, hogy soha ne add ki a kulcsot anélkül, hogy tudnád, ki nyit vele ajtót.
Források: Telex (2026.06.03., monopolhelyzet és finanszírozás); NAIH 2024-es adatvédelmi határozat (110 millió forint bírság); Közbeszerzési Adatbázis (terméktámogatási szerződések); EU AI Act, III. melléklet.