Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Can we deploy an RTLS system that doesn't touch PHI at all?

Yes, for equipment-only deployments. Tag pumps, beds and wheelchairs, not patients or staff badges, and the system is out of HIPAA scope. This is the easiest path for biomed/equipment-utilisation programmes.

Which RTLS vendors will sign a BAA?

Most enterprise healthcare-RTLS vendors will (Stanley Healthcare, CenTrak, Sonitor, Kontakt.io, Aruba, Cisco). Some industrial vendors won't — they're not in this market. We verify BAA-willingness during vendor shortlisting in stage 1.

How is hand-hygiene compliance reporting handled under HIPAA?

Carefully. Aggregate compliance reporting at unit or shift level is generally outside HIPAA. Individual staff compliance, attributable to a named clinician treating a named patient, can engage HIPAA depending on context. Most programmes report at unit level for both HIPAA and labour-relations reasons.

Do we need an OCR-style audit pack?

Recommended. We assemble a deployment audit pack covering risk assessment, technical controls, training records, BAA inventory, breach-response SOP and ongoing-monitoring evidence. Updated annually or on material change.

COMPLIANCE · GESUNDHEITSWESEN

HIPAA & RTLS im Gesundheitswesen.

Krankenhaus-RTLS-Einsätze berühren routinemäßig PHI – manchmal offensichtlich (Patientenfluss-Tagging), manchmal zufällig (Personalausweise, die ebenfalls mit zugewiesenen Patienten korrelieren).

HIPAA gilt. Dies ist die Zusammenfassung auf Operatorebene, was sich im Einsatz ändert.

Buchen Sie einen 30-minütigen Scoping-Termin

Was zählt als PHI im RTLS-Kontext

PHI aktiviert sich, wann immer Standortdaten mit einem identifizierbaren Patienten verknüpft werden können. Das Markieren einer Infusionspumpe ist keine PHI. Das Markieren eines Patientenarmbands ist es.

Das Markieren von Personalausweisen, die zufällig einem bestimmten Patienten zu einem bestimmten Zeitpunkt zugeordnet werden können, kann per Kombination PHI erfolgen.

Die richtige Architekturwahl lautet: Trenne die Standortinfrastruktur von der Patientenidentifikationsschicht mit kontrollierten Joins.

Geschäftspartnervereinbarungen (BAAs)

Jeder RTLS-Anbieter, dessen Plattform PHI in Ihrem Namen speichert, verarbeitet oder überträgt, ist ein Business Associate und benötigt eine BAA. Dazu gehören cloudgehostete RTLS-Plattformen (die Mehrheit), Managed-Service-Betreiber und SI-Partner mit Plattformzugang.

Anbieter, die sich weigern, einen BAA zu unterschreiben, dürfen keine PHI-bezogenen Deployments hosten – das disqualifiziert eine bedeutende Anzahl ansonsten starker RTLS-Lieferanten. Überprüfen Sie die BAA-Bereitschaft frühzeitig.

Mindestnotwendiger und rollenbasierter Zugang

Die Mindestmaßnahme von HIPAA besagt, dass klinisches Personal nur die Standortdaten sehen sollte, die sie für ihre Rolle benötigen.

Pflegekräfte beobachten den Patientenfluss auf ihrer Station; Biomed sieht den Standort der Geräte; Sicherheit sieht den Zonenzugang; Niemand sieht routinemäßig alles.

Dies erfordert rollenbasierten Zugriff auf der Plattformebene mit Audit-Protokollierung. Standardkonfigurationen für Anbieter implementieren das selten gut – es ist eine Designentscheidung in der ersten Phase.

Verschlüsselung, Audit und Breach Response

PHI in RTLS-Systemen muss während des Transits (TLS 1.2+) und im Ruhezustand (AES-256) verschlüsselt werden. Auditprotokolle müssen jeden PHI-Zugang erfassen und gemäß Landesgesetz (typischerweise 6 Jahre) aufbewahrt werden.

Die Reaktion auf Sicherheitsverletzungen – einschließlich des 60-Tage-Benachrichtigungsfensters – muss mit SOP gemacht werden. Wir entwerfen die Sicherheits- und Bruchreaktions-SOPs als Teil der Lieferergebnisse der Stufe 1 / Stufe 3, gemeinsam mit Ihrem Datenschutzbüro.

FAQ

Häufig gestellte Fragen

Können wir ein RTLS-System einsetzen, das PHI überhaupt nicht berührt?

Ja, für Ausrüstungseinsätze. Markieren Sie Pumpen, Betten und Rollstühle, nicht Patienten- oder Personalausweise, und das System fällt außerhalb des HIPAA-Zuständigkeitsbereichs. Dies ist der einfachste Weg für Biomed-/Gerätenutzungsprogramme.

Welche RTLS-Anbieter unterschreiben ein BAA?

Die meisten Anbieter von Enterprise Healthcare-RTLS tun das (Stanley Healthcare, CenTrak, Sonitor, Kontakt .io, Aruba, Cisco).

Einige Industrieanbieter werden das nicht tun – sie sind nicht in diesem Markt. Wir überprüfen die BAA-Bereitschaft während der Anbieter-Shortlist in Stufe 1.

Wie wird die Einhaltung von Handhygiene-Compliance im Rahmen des HIPAA gehandhabt?

Vorsichtig. Die aggregierte Compliance-Berichterstattung auf Einheits- oder Schichtebene fällt in der Regel außerhalb des HIPAA.

Die Einhaltung individueller Mitarbeiter, die auf einen benannten Kliniker zurückzuführen ist, der einen benannten Patienten behandelt, kann je nach Kontext HIPAA aktivieren.

Die meisten Programme berichten auf Einheitsebene sowohl aus HIPAA- als auch aus arbeitsrechtlichen Gründen.

Brauchen wir ein OCR-ähnliches Audit-Paket?

Empfohlen. Wir stellen ein Einsatz-Audit-Paket zusammen, das Risikobewertung, technische Kontrollen, Schulungsunterlagen, BAA-Inventar, Breach-Response SOP und laufende Überwachungsnachweise umfasst. Jährlich aktualisiert oder bei wesentlichen Änderungen.

Zuletzt aktualisiert: 26. Mai 2026

HIPAA &amp; RTLS im Gesundheitswesen.