Miért választják a magyar egészségügyi szolgáltatók a saját szerveren futtatott AI-t a GDPR megfelelés érdekében?

Balázs, egy budapesti magánklinika IT vezetője, az egyik hétfő reggelen véletlenül fedezte fel, hogy az intézmény egyik szakorvosa a beteg zárójelentéseit egy nyilvános, felhőalapú AI segítségével próbálja összegezni.

A felismerés azonnali riadalmat váltott ki: a diagnózisok és a személyes adatok gyakorlatilag ellenőrizetlenül távoztak az Európai Unión kívüli szerverekre.

Ebben a pillanatban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) esetleges vizsgálata és az EESZT-vel való szoros integráció elvesztése nem csupán elméleti veszélynek, hanem küszöbön álló katasztrófának tűnt.

Ez a helyzet ma már mindennapos a magyar egészségügyi szektorban, ahol az innovációra való törekvés gyakran ütközik a szigorú adatvédelmi követelményekkel.

Az adatvédelmi szuverenitás és a jogi útvesztő

Sok egészségügyi intézmény abban a tévhitben él, hogy a nagy felhőszolgáltatók által kínált általános adatvédelmi megállapodások elegendőek a különleges kategóriájú egészségügyi adatok kezeléséhez.

A valóságban azonban a magyar szabályozási környezet, különösen az Infotv. és az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) követelményei, sokkal szigorúbb ellenőrzést írnak elő. Az AI használata magas kockázatú tevékenységnek számít, ehhez pedig kötelező az előzetes adatvédelmi hatásvizsgálat (DPIA) elvégzése.

Bár a felhőalapú AI modellek lenyűgöző számítási teljesítményt és gyors elterjedést kínálnak, az adatkezelés feletti irányítás elvesztése súlyos biztonsági incidensekhez vezethet.

A Stanford Institute for Human-Centered AI (Stanford HAI) jelentése szerint az AI-val kapcsolatos biztonsági incidensek száma 2024-ben elérte a 233-at [1], ami jelzi a technológia sebezhetőségét a nem megfelelően védett környezetekben.

A kockázatokat tovább fokozza az „Árnyék-AI” jelensége, amikor a személyzet hivatalos engedély nélkül használ külső eszközöket. Ez a gyakorlat közvetlenül sérti az adatvédelmi elveket, mivel az érzékeny információk kikerülnek a klinika ellenőrzött környezetéből.

Az adatvédelmi incidensek átlagos költsége 2024-ben elérte a 4,88 millió dollárt [2], és ebben még nem szerepel a bizalomvesztés és a hírnév károsodása.

Nem véletlen, hogy a vállalatok 72%-a tart az AI-hoz kapcsolódó adatvédelmi kockázatoktól [3], és ez az arány az egészségügyben, ahol az adatok integritása életbe vágó, még magasabb lehet.

Miért a saját szerveres architektúra a megoldás?

A magyar klinikák számára a döntés nem a fejlődés és a stagnálás között dől el, hanem az irányítás és a kockázat között.

A saját szerveren futtatott (self-hosted) AI rendszerek lehetővé teszik, hogy a mesterséges intelligencia modellek a klinika saját infrastruktúráján, az EESZT-hez csatlakozó belső hálózaton belül fussanak.

Ez a megközelítés közvetlenül választ ad a 2026-tól életbe lépő „intelligens EESZT” (iEESZT) elvárásaira, ahol az adatok másodlagos felhasználása szigorú szuverenitási keretek között valósulhat meg.

Az alábbi táblázat szemlélteti a különböző architektúrák közötti kritikus különbségeket:

Látható, hogy bár a hagyományos helyi infrastruktúra kínálja a legmagasabb biztonságot, annak fenntartási költsége és lassú API válaszideje akadályozhatja a valós idejű diagnosztikai támogatást.

Ezzel szemben a modern, saját szerveren futtatott megoldások egyesítik a felhő sebességét a helyi szerverek jogi biztonságával.

Olyan platformok, mint a MyOpenClaw, lehetővé teszik a klinikák számára, hogy saját API gateway-t építsenek ki, amely minden egyes kérést helyben validál, mielőtt az AI feldolgozná azt.

Ez a „privacy-by-design” megközelítés kulcsfontosságú az EU AI Act betartásához, amelynek megsértése esetén a bírság akár a 35 millió eurót vagy a globális forgalom 7%-át is elérheti [4].

Adatvédelmi szuverenitás (Data Sovereignty): Ez egy technikai és jogi állapot, amelyben az adatok birtokosa teljes körű irányítást gyakorol az információk tárolása és feldolgozása felett, kizárva az illetéktelen harmadik felek hozzáférését.

Az innováció iránti igényt jelzi, hogy az egészségügyi szektorban az AI alkalmazási aránya már elérte a 65%-ot [5], ami azonban fokozott figyelmet igényel az adatok védelme terén.

A helyi futtatás nem csupán jogi pajzs, hanem technológiai előny is: a hálózati késleltetés minimalizálásával az orvosok azonnali visszajelzést kaphatnak a leletekről.

A bevezetés kritikus csapdái

A saját szerveren futtatott AI bevezetése nem mentes a kihívásoktól. A legtöbb kudarcot vallott projekt mögött nem technikai hiányosság, hanem a humán kockázatok alulbecslése áll. A Verizon elemzése szerint az adatvédelmi incidensek 74%-a emberi tényezőre vezethető vissza [6].

Az egészségügyben ez gyakran a nem megfelelő jogosultságkezelésben vagy a biztonsági frissítések elhanyagolásában nyilvánul meg.

Az alábbi három hiba elkerülése alapvető fontosságú:

• A biztonsági frissítések és javítások elhanyagolása: Sokan azt hiszik, hogy a telepítés után a rendszer örökké biztonságos marad. A valóságban a helyi modellek is folyamatos karbantartást igényelnek a sérülékenységek ellen.
• Az adatmentési és helyreállítási terv hiánya: Egy helyi szerverhiba esetén az AI alapú diagnosztikai támogatás kiesése bénító lehet a klinikai munkafolyamatokra nézve.
• Zűrzavaros jogosultságkezelés: Ha minden munkatárs hozzáfér minden adathoz, a saját szerveres jelleg elveszíti értelmét, hiszen a belső visszaélések kockázata megnő.

Balázs végül úgy döntött, hogy klinikai környezetben egy dedikált helyi szerverre telepített, saját szerveren futtatott AI-átjárót alkalmaz.

Bár a rendszer kezdeti beállítása több erőfeszítést igényelt, mint egy egyszerű felhőalapú előfizetés, a NAIH legutóbbi tájékoztatója szerint ez az egyetlen járható út a jövőbeli iEESZT megfeleléshez.

Ugyanakkor Balázs rájött, hogy a technológia önmagában nem csodaszer: bár a saját szerveren futó AI 100%-os adatvédelmet garantál az adatok áramlása során, a doktorok továbbra is hajlamosak voltak a kényelem kedvéért egyszerűbb, de kockázatosabb eszközökhöz nyúlni.

A végleges megoldást a technikai korlátok és a folyamatos személyzeti oktatás kombinációja jelentette, ahol a biztonság nem a hatékonyság ellenében, hanem annak alapjaként jött létre.

References

[1] https://hai.stanford.edu/news/ai-index-2025-state-of-ai-10-charts -- Az AI-hoz kapcsolódó biztonsági incidensek száma 2024-ben 233-ra emelkedett

[2] https://www.ibm.com/reports/data-breach -- Az adatvédelmi incidensek átlagos költsége 2024-ben elérte a 4,88 millió dollárt

[3] https://www.cisco.com/c/en/us/about/trust-center/data-privacy-benchmark-study.html -- A vállalatok 72%-a kifejezetten aggódik az AI-hoz kapcsolódó adatvédelmi kockázatok miatt

[4] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai -- Az EU AI Act megsértése esetén a bírság a 35 millió eurót is elérheti

[5] https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai -- Az AI alkalmazási aránya az egészségügyi szektorban elérte a 65%-ot

[6] https://www.verizon.com/business/resources/reports/dbir/ -- Az adatvédelmi incidensek 74%-a közvetlenül emberi tényezőre vezethető vissza