Cómo Oregon Health & Science University eliminó los riesgos de cumplimiento de la IA en 60 programas de investigación en 31 días

La Oregon Health & Science University (OHSU) es el único centro de salud académico de Oregón, que opera tres hospitales, 13 clínicas de atención primaria y especializadas, y 60 institutos de investigación con aproximadamente 680 millones de dólares en financiación anual para investigación. Su plantilla de 19.000 personas incluye médicos, investigadores e ingenieros que han implementado de forma independiente herramientas de IA para apoyar la documentación clínica, la investigación genómica, la asignación de pacientes para ensayos clínicos y los flujos de trabajo administrativos.

OHSU contrató a Elantis para someter a todos los agentes de IA en producción a la gobernanza de políticas, con un enfoque particular en aquellos que acceden a su sistema de registros de salud electrónicos, sistema de gestión de ensayos clínicos y conjuntos de datos de investigación gobernados por su Junta de Revisión Institucional (IRB). 

Resultados e impacto

Resultados iniciales – Primeros 60-90 días

• 94 agentes de IA sometidos a gobernanza activa en entornos clínicos, de investigación y administrativos, con plena aplicación activa desde el día 31
• 23 intentos de acceso no autorizado a datos de pacientes bloqueados en los primeros 60 días – cada uno detectado y detenido antes de llegar a la ventana de contexto del agente
• Tiempo de preparación de auditorías del IRB reducido de ocho semanas a tres días – un registro completo y auditable de cada interacción de acceso a datos de IA, listo para su revisión bajo demanda
• Cero eventos confirmados de exposición de datos de pacientes por trimestre, frente a un estimado de 40-60 en la línea de base
• Cero tiempo de inactividad y sin cambios de código requeridos para 83 de los 94 agentes gobernados – la aplicación se realizó completamente en la capa de infraestructura

Resultados operativos

• Reducción del 74% en el volumen de tickets de cumplimiento del equipo de seguridad en dos semanas, ya que las recomendaciones de políticas automatizadas reemplazaron el triaje manual
• Tiempo promedio para someter un nuevo agente a gobernanza: 2,1 días, en comparación con las tres a seis semanas del proceso de revisión manual anterior
• ~140 horas de tiempo del personal interno necesario en seguridad, TI de investigación y gobernanza de datos – desde la firma del contrato hasta la puesta en marcha de la aplicación completa

El Reto: Agentes de IA en un Entorno de Investigación Sin una Capa de Gobernanza

El entorno de investigación de OHSU está intencionadamente descentralizado. Los investigadores que realizan estudios financiados con fondos federales tienen una autonomía significativa sobre sus herramientas computacionales. A finales de 2024, más de 40 equipos de investigación habían implementado herramientas de IA para automatizar tareas que iban desde el resumen de notas clínicas hasta el análisis genómico, varias de las cuales tenían credenciales para el sistema de registros de salud electrónicos de OHSU y la plataforma de gestión de ensayos clínicos.

El equipo de seguridad de OHSU no tenía visibilidad en tiempo real de lo que hacían estas herramientas una vez implementadas. Un agente de IA que actuara con una instrucción malformada o una credencial comprometida podría haber desencadenado una notificación de violación de HIPAA que afectaría a miles de registros de pacientes. Para los centros médicos académicos, el acuerdo promedio de HIPAA es de 1,2 millones de dólares, y las violaciones también ponen en riesgo la financiación de los NIH y crean un daño reputacional duradero.

La dimensión del IRB era igualmente urgente. La junta de revisión institucional de OHSU había comenzado a recibir objeciones de los participantes en la investigación sobre el uso de la IA en los estudios, pero no tenía un marco auditable sobre cómo las herramientas de IA accedían a los datos de investigación. Los investigadores podían proporcionar garantías manuales, pero esa cadena de garantías no sobreviviría a una auditoría federal. OHSU necesitaba una capa de gobernanza que funcionara en un entorno de investigación descentralizado sin exigir a cada equipo que reconstruyera sus herramientas desde cero.

La Solución

Para 83 de los 94 agentes de IA en producción – todos empaquetados como módulos de software autónomos – se aplicaron reglas de gobernanza a nivel de entorno de una sola vez, sin interrupciones del servicio y sin tocar el código de ningún agente individual. 

Cada solicitud de datos saliente de esos agentes pasa por el motor de políticas de Elantis, que devuelve una decisión (permitir, bloquear, sanitizar o marcar para aprobación manual) antes de que se ejecute la solicitud. Para los campos de datos de pacientes devueltos a través de consultas de registros de salud electrónicos (EHR), el sistema redacta automáticamente los identificadores sensibles antes de que lleguen al agente.

Para los 11 agentes creados directamente por los equipos internos de ingeniería de investigación de OHSU, una integración de software ligera proporcionó al equipo de seguridad una visibilidad granular sobre exactamente qué campos de datos intentó acceder un agente, y si su comportamiento coincidía con el alcance de su protocolo IRB declarado.

Elantis generó automáticamente plantillas de políticas compatibles con HIPAA para los 94 agentes basándose en sus patrones de acceso a datos. El equipo de gobernanza de datos de OHSU revisó y aprobó cada vinculación de política en una única sesión de trabajo de tres horas.

Implementación e Inversión

OHSU adquirió Elantis a través del contrato cooperativo TXShare en Civic Marketplace – el contrato de Plataforma de Gobernanza, Cumplimiento y Habilitación de IA administrado por el Consejo de Gobiernos del Centro-Norte de Texas (NCTCOG). No se requirió una nueva RFP.

Cronograma y costo del proyecto:

• Firma del contrato: Febrero de 2026
• Puesta en marcha de la aplicación completa: Marzo de 2026
• Duración total del despliegue: 31 días
• Esfuerzo interno requerido: aproximadamente 140 horas entre seguridad, TI de investigación y gobernanza de datos

Replicabilidad para Otras Agencias

La implementación en OHSU demuestra la aplicabilidad del modelo más allá del gobierno municipal tradicional: cualquier institución que gestione herramientas de IA en un entorno de investigación o clínico descentralizado, con obligaciones HIPAA o IRB, se enfrenta a la misma brecha de gobernanza central que Elantis fue diseñado para cerrar.