Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Can we deploy an RTLS system that doesn't touch PHI at all?

Yes, for equipment-only deployments. Tag pumps, beds and wheelchairs, not patients or staff badges, and the system is out of HIPAA scope. This is the easiest path for biomed/equipment-utilisation programmes.

Which RTLS vendors will sign a BAA?

Most enterprise healthcare-RTLS vendors will (Stanley Healthcare, CenTrak, Sonitor, Kontakt.io, Aruba, Cisco). Some industrial vendors won't — they're not in this market. We verify BAA-willingness during vendor shortlisting in stage 1.

How is hand-hygiene compliance reporting handled under HIPAA?

Carefully. Aggregate compliance reporting at unit or shift level is generally outside HIPAA. Individual staff compliance, attributable to a named clinician treating a named patient, can engage HIPAA depending on context. Most programmes report at unit level for both HIPAA and labour-relations reasons.

Do we need an OCR-style audit pack?

Recommended. We assemble a deployment audit pack covering risk assessment, technical controls, training records, BAA inventory, breach-response SOP and ongoing-monitoring evidence. Updated annually or on material change.

CONFORMITÉ · SOINS DE SANTÉ

HIPAA & RTLS dans le secteur de la santé.

Les déploiements RTLS hospitaliers touchent régulièrement les PHI — parfois de façon évidente (marquage du flux des patients), parfois de façon incidente (badges du personnel qui correspondent aussi aux patients assignés).

La HIPAA s’applique. Voici le résumé au niveau opérateur des changements dans le déploiement.

Réservez un appel de 30 minutes pour le périmètre

Qu’est-ce qui compte comme PHI dans un contexte RTLS

Le PHI intervient chaque fois que les données de localisation peuvent être reliées à un patient identifiable. Marquer une pompe d’infusion n’est pas du PHI. Marquer un bracelet patient l’est.

Identifier les badges du personnel qui peuvent être attribués à un patient spécifique à un moment donné peut être PHI par combinaison.

Le bon choix architectural est : séparer l’infrastructure de localisation de la couche d’identification du patient, avec des jointures contrôlées.

Accords d’Associés d’Affaires (BAA)

Tout fournisseur RTLS dont la plateforme stocke, traite ou transmet des PHI en votre nom est un associé commercial et nécessite un BAA.

Cela inclut les plateformes RTLS hébergées dans le cloud (la majorité), les opérateurs de services gérés et les partenaires SI avec accès à la plateforme.

Les fournisseurs qui refusent de signer un BAA ne peuvent pas héberger de déploiements liés à PHI — cela disqualifie un nombre significatif de fournisseurs RTLS autrement solides. Vérifiez la volonté de BAA dès le début.

Accès minimum nécessaire et basé sur les rôles

La règle du minimum nécessaire de la HIPAA signifie que le personnel médical ne doit voir que les données de localisation dont il a besoin pour son rôle.

Les infirmières voient le flux de patients dans leur unité ; Biomed voit l’emplacement des équipements ; la sécurité voit l’accès à la zone ; Personne ne voit tout de façon routinière.

Cela nécessite un accès basé sur les rôles au niveau de la plateforme avec un journal d’audit. Les configurations par défaut des fournisseurs implémentent rarement cela bien — c’est une décision de conception de première phase.

Chiffrement, audit et réponse aux violations

Les PHI dans les systèmes RTLS doivent être chiffrés en transit (TLS 1.2+) et au repos (AES-256). Les journaux d’audit doivent relever chaque accès aux PHI et être conservés conformément à la loi de l’État (généralement 6 ans).

La réponse à la violation — y compris la fenêtre de notification de 60 jours — doit être respectée par la procédure standard.

Nous concevons les procédures de sécurité et de réponse aux violations dans le cadre des livrables de l’étape 1 / 3, conjointement avec votre service de confidentialité.

FAQ

Questions fréquemment posées

Peut-on déployer un système RTLS qui ne touche pas du tout aux PHI ?

Oui, pour les déploiements uniquement avec l’équipement. Placez les pompes, les lits et les fauteuils roulants, pas les badges des patients ou du personnel, et le système est hors du champ de la loi HIPAA.

C’est la voie la plus simple pour les programmes biomédicaux/utilisation des équipements.

Quels vendeurs RTLS signeront un BAA ?

La plupart des fournisseurs de soins de santé pour les entreprises - RTLS le feront (Stanley Healthcare, CenTrak, Sonitor, Kontakt .io, Aruba, Cisco).

Certains fournisseurs industriels ne le feront pas — ils ne sont pas sur ce marché. Nous vérifions la volonté de BAA lors de la présélection des fournisseurs à l’étape 1.

Comment le reporting de conformité à l’hygiène des mains est-il géré selon la HIPAA ?

Prudemment. Le rapport de conformité global au niveau de l’unité ou du service est généralement en dehors de la HIPAA.

La conformité individuelle du personnel, attribuable à un clinicien nommé traitant un patient nommé, peut faire appel à la HIPAA selon le contexte. La plupart des programmes rapportent au niveau des unités, tant pour des raisons HIPAA que pour les relations de travail.

Avons-nous besoin d’un pack d’audit de type OCR ?

Recommandé. Nous constituons un pack d’audit de déploiement couvrant l’évaluation des risques, les contrôles techniques, les dossiers de formation,

l’inventaire des BAA, les procédures opérationnelles opérationnelles de réponse aux violations et les preuves de surveillance continue.

Mise à jour annuelle ou en cas de changement de matériel.

Dernière mise à jour : 26 mai 2026

HIPAA &amp; RTLS dans le secteur de la santé.