Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Can we deploy an RTLS system that doesn't touch PHI at all?

Yes, for equipment-only deployments. Tag pumps, beds and wheelchairs, not patients or staff badges, and the system is out of HIPAA scope. This is the easiest path for biomed/equipment-utilisation programmes.

Which RTLS vendors will sign a BAA?

Most enterprise healthcare-RTLS vendors will (Stanley Healthcare, CenTrak, Sonitor, Kontakt.io, Aruba, Cisco). Some industrial vendors won't — they're not in this market. We verify BAA-willingness during vendor shortlisting in stage 1.

How is hand-hygiene compliance reporting handled under HIPAA?

Carefully. Aggregate compliance reporting at unit or shift level is generally outside HIPAA. Individual staff compliance, attributable to a named clinician treating a named patient, can engage HIPAA depending on context. Most programmes report at unit level for both HIPAA and labour-relations reasons.

Do we need an OCR-style audit pack?

Recommended. We assemble a deployment audit pack covering risk assessment, technical controls, training records, BAA inventory, breach-response SOP and ongoing-monitoring evidence. Updated annually or on material change.

CUMPLIMIENTO · SANIDAD

HIPAA y RTLS en sanidad.

Los despliegues hospitalarios RTLS afectan rutinariamente a la PHI — a veces de forma obvia (etiquetado de flujo de pacientes), a veces de forma incidental (insignias de personal que también se correlacionan con pacientes asignados).

Se aplica la HIPAA. Este es el resumen a nivel de operador de lo que cambia en el despliegue.

Reserva una llamada de alcance de 30 minutos

¿Qué cuenta como PHI en un contexto de RTLS

La PHI interactúa siempre que los datos de ubicación pueden vincularse a un paciente identificable. Etiquetar una bomba de infusión no es PHI. Etiquetar una pulsera de paciente sí lo es.

Etiquetar las placas del personal que se pueden asignar a un paciente específico en un momento dado puede ser PHI por combinación.

La elección arquitectónica correcta es: separar la infraestructura de localización de la capa de identificación del paciente, con uniones controladas.

Acuerdos de Asociación Comercial (BAAs)

Cualquier proveedor de RTLS cuya plataforma almacene, procese o transmita PHI en tu nombre es un Asociado de Negocios y requiere un BAA. Esto incluye plataformas RTLS alojadas en la nube (la mayoría), operadores de servicios gestionados y socios SI con acceso a plataformas.

Los proveedores que se niegan a firmar un BAA no pueden alojar despliegues vinculados a PHI, lo que descalifica a un número significativo de proveedores RTLS que de otro modo serían fuertes. Verifica la disposición de BAA con antelación.

Acceso mínimo necesario y basado en roles

La norma de mínimo necesario de HIPAA significa que el personal clínico debe ver solo los datos de ubicación que necesita para su función.

Las enfermeras ven el flujo de pacientes en su unidad; Biomed localiza el equipo; seguridad ve el acceso a la zona; Nadie lo ve todo rutinariamente.

Esto requiere acceso basado en roles en la capa de plataforma con registro de auditoría. Las configuraciones predeterminadas del proveedor rara vez implementan esto bien — es una decisión de diseño de primera fase.

Cifrado, auditoría y respuesta a brechas

La PHI en los sistemas RTLS debe cifrarse en tránsito (TLS 1.2+) y en reposo (AES-256). Los registros de auditoría deben recoger todos los accesos a la PHI y conservarse según la ley estatal (normalmente durante 6 años).

La respuesta a la brecha —incluida la ventana de notificación de 60 días— debe ser justificada por procedimientos estándar.

Diseñamos los procedimientos operativos estándar de seguridad y respuesta a brechas como parte de los entregables de la fase 1 / etapa 3, junto con tu oficina de privacidad.

Preguntas frecuentes

¿Podemos desplegar un sistema RTLS que no toque PHI?

Sí, para despliegues solo con equipamiento. Etiqueta bombas, camas y sillas de ruedas, no tarjetas de pacientes o personal, y el sistema queda fuera del alcance de HIPAA. Este es el camino más sencillo para programas biomédicos y de utilización de equipos.

¿Qué proveedores de RTLS firmarán un BAA?

La mayoría de los proveedores de atención sanitaria empresarial - RTLS lo harán (Stanley Healthcare, CenTrak, Sonitor, Kontakt .io, Aruba, Cisco).

Algunos proveedores industriales no — no están en este mercado. Verificamos la disposición de la BAA durante la selección de proveedores en la fase 1.

¿Cómo se gestiona la notificación de cumplimiento de la higiene de manos bajo HIPAA?

Con cuidado. La notificación agregada de cumplimiento a nivel de unidad o turno suele estar fuera de HIPAA.

El cumplimiento individual del personal, atribuible a un clínico nombrado que trata a un paciente nombrado, puede implicar la HIPAA dependiendo del contexto. La mayoría de los programas informan a nivel de unidad tanto por razones de HIPAA como de relaciones laborales.

¿Necesitamos un paquete de auditoría al estilo OCR?

Recomendado. Elaboramos un paquete de auditoría de despliegue que cubre la evaluación de riesgos, controles técnicos, registros de formación, inventario de BAA, procedimientos operativos estándar de respuesta a brechas y evidencia de monitorización continua.

Actualizado anualmente o por cambios de material.

Última actualización: 26 de mayo de 2026