Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Can we deploy an RTLS system that doesn't touch PHI at all?

Yes, for equipment-only deployments. Tag pumps, beds and wheelchairs, not patients or staff badges, and the system is out of HIPAA scope. This is the easiest path for biomed/equipment-utilisation programmes.

Which RTLS vendors will sign a BAA?

Most enterprise healthcare-RTLS vendors will (Stanley Healthcare, CenTrak, Sonitor, Kontakt.io, Aruba, Cisco). Some industrial vendors won't — they're not in this market. We verify BAA-willingness during vendor shortlisting in stage 1.

How is hand-hygiene compliance reporting handled under HIPAA?

Carefully. Aggregate compliance reporting at unit or shift level is generally outside HIPAA. Individual staff compliance, attributable to a named clinician treating a named patient, can engage HIPAA depending on context. Most programmes report at unit level for both HIPAA and labour-relations reasons.

Do we need an OCR-style audit pack?

Recommended. We assemble a deployment audit pack covering risk assessment, technical controls, training records, BAA inventory, breach-response SOP and ongoing-monitoring evidence. Updated annually or on material change.

CONFORMITÀ · SANITÀ

HIPAA & RTLS nel settore sanitario.

Le missioni RTLS ospedaliere toccano regolarmente PHI — a volte ovviamente (tag del flusso del paziente), a volte incidentalmente (badge del personale che corrispondono anche ai pazienti assegnati).

Si applica la HIPAA. Questo è il riepilogo a livello operatore di ciò che cambia nel dispiegamento.

Prenota una chiamata di 30 minuti per la definizione del scopo

Cosa conta come PHI in un contesto RTLS

Il PHI interagisce ogni volta che i dati di localizzazione possono essere collegati a un paziente identificabile. Etichettare una pompa d'infusione non è PHI. Etichettare un braccialetto paziente lo è.

Etichettare i badge del personale che possono essere assegnati a un paziente specifico in un dato momento può essere PHI per combinazione.

La scelta giusta dell'architettura è: separare l'infrastruttura di localizzazione dal livello di identificazione del paziente, con join controllati.

Accordi di Associato in Affari (BAA)

Qualsiasi fornitore RTLS la cui piattaforma memorizza, elabora o trasmette PHI per tuo conto è un Business Associate e richiede un BAA. Questo include piattaforme RTLS ospitate nel cloud (la maggioranza), operatori di servizi gestiti e partner SI con accesso alla piattaforma.

I fornitori che rifiutano di firmare un BAA non possono ospitare implementazioni collegate a PHI — questo esclude un numero significativo di fornitori RTLS altrimenti forti. Verifica la disponibilità alla BAA fin dall'inizio.

Accesso minimo necessario e basato sul ruolo

La regola minima necessaria dell'HIPAA significa che il personale clinico dovrebbe vedere solo i dati di localizzazione necessari per il proprio ruolo.

Gli infermieri vedono il flusso di pazienti nel loro reparto; il biomed vede la posizione delle attrezzature; la sicurezza vede l'accesso alla zona; Nessuno vede tutto di routine.

Questo richiede accesso basato sui ruoli a livello piattaforma con audit logg. Le configurazioni predefinite dei fornitori raramente implementano questo bene — è una decisione di progettazione di fase 1.

Crittografia, audit e risposta alle violazioni

La PHI nei sistemi RTLS deve essere criptata durante il transito (TLS 1.2+) e a riposo (AES-256). I log di audit devono includere ogni accesso PHI e essere conservati secondo la legge statale (tipicamente per 6 anni).

La risposta alle violazioni — inclusa la finestra di notifica di 60 giorni — deve essere rispettata dalla SOP. Progettiamo le procedure di sicurezza e risposta alle violazioni come parte dei deliverable della fase 1 / fase 3, in collaborazione con il vostro ufficio privacy.

Domande frequenti

Possiamo distribuire un sistema RTLS che non tocchi affatto PHI?

Sì, per le missioni solo con equipaggiamento. Etichetta pompe, letti e sedie a rotelle, non pazienti o badge del personale, e il sistema è fuori dalla portata HIPAA. Questa è la strada più semplice per programmi biomedici/di utilizzo delle attrezzature.

Quali fornitori RTLS firmeranno un BAA?

La maggior parte dei fornitori di assistenza sanitaria enterprise - RTLS lo farà (Stanley Healthcare, CenTrak, Sonitor, Kontakt .io, Aruba, Cisco).

Alcuni fornitori industriali non lo faranno — non sono in questo mercato. Verifichiamo la disponibilità alla BAA durante la selezione dei fornitori nella fase 1.

Come viene gestita la segnalazione della conformità all'igiene delle mani secondo l'HIPAA?

Con attenzione. La rendicontazione aggregata di conformità a livello di unità o turni è generalmente al di fuori della HIPAA.

La conformità individuale del personale, attribuibile a un clinico nominato che tratta un paziente nominato, può coinvolgere la HIPAA a seconda del contesto. La maggior parte dei programmi riporta a livello di unità sia per ragioni HIPAA che per motivi di relazioni di lavoro.

Abbiamo bisogno di un pacchetto di audit in stile OCR?

Consigliato. Prepariamo un pacchetto di audit di implementazione che copre la valutazione del rischio, i controlli tecnici, i registri di formazione, l'inventario BAA, la SOP di risposta alle violazioni e le prove di monitoraggio continuo.

Aggiornato annualmente o in caso di cambiamenti materiali.

Ultimo aggiornamento: 26 maggio 2026

HIPAA &amp; RTLS nel settore sanitario.