Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Can we deploy an RTLS system that doesn't touch PHI at all?

Yes, for equipment-only deployments. Tag pumps, beds and wheelchairs, not patients or staff badges, and the system is out of HIPAA scope. This is the easiest path for biomed/equipment-utilisation programmes.

Which RTLS vendors will sign a BAA?

Most enterprise healthcare-RTLS vendors will (Stanley Healthcare, CenTrak, Sonitor, Kontakt.io, Aruba, Cisco). Some industrial vendors won't — they're not in this market. We verify BAA-willingness during vendor shortlisting in stage 1.

How is hand-hygiene compliance reporting handled under HIPAA?

Carefully. Aggregate compliance reporting at unit or shift level is generally outside HIPAA. Individual staff compliance, attributable to a named clinician treating a named patient, can engage HIPAA depending on context. Most programmes report at unit level for both HIPAA and labour-relations reasons.

Do we need an OCR-style audit pack?

Recommended. We assemble a deployment audit pack covering risk assessment, technical controls, training records, BAA inventory, breach-response SOP and ongoing-monitoring evidence. Updated annually or on material change.

NALEVING · GEZONDHEIDSZORG

HIPAA & RTLS in de gezondheidszorg.

Ziekenhuis-RTLS-implementaties raken routinematig PHI — soms uiteraard (patiëntstroom-tagging), soms toevallig (personeelsbadges die ook correeren met toegewezen patiënten). HIPAA is van toepassing. Dit is de operator-niveau samenvatting van wat er verandert in de inzet.

Boek een scoping-gesprek van 30 minuten

Wat telt als PHI in een RTLS-context.

PHI wordt ingeschakeld wanneer locatiegegevens gekoppeld kunnen worden aan een identificeerbare patiënt. Het taggen van een infusiepomp is geen PHI. Het taggen van een patiëntpolsband is dat.

Het taggen van personeelsbadges die toevallig op een bepaald moment aan een specifieke patiënt toegewezen kunnen worden, kan PHI worden door een combinatie. De juiste architectuurkeuze is: scheid de locatie-infrastructuur van de patiëntidentificatielaag, met gecontroleerde joins.

Business Associate Overeenkomsten (BAA's)

Elke RTLS-leverancier wiens platform PHI namens u opslaat, verwerkt of verzendt, is een Business Associate en vereist een BAA. Dit omvat cloud-gehoste RTLS-platforms (de meerderheid), beheerde service-operators en SI-partners met platformtoegang.

Leveranciers die weigeren een BAA te ondertekenen, kunnen geen PHI-gekoppelde implementaties hosten — dat diskwalificeert een aanzienlijk aantal anders sterke RTLS-leveranciers. Controleer vroegtijdig de bereidheid van BAA.

Minimaal noodzakelijke en rolgebaseerde toegang

De minimum-noodzakelijke regel van HIPAA betekent dat klinisch personeel alleen de locatiegegevens mag zien die ze voor hun rol nodig hebben.

Verpleegkundigen zien de patiëntenstroom op hun afdeling; Biomed ziet de locatie van apparatuur; Beveiliging zorgt voor zone-toegang; Niemand ziet routinematig alles.

Dit vereist rolgebaseerde toegang op de platformlaag met auditlogging. Standaard leveranciersconfiguraties implementeren dit zelden goed — het is een ontwerpbeslissing in fase 1.

Encryptie, audit en inbreukrespons

PHI in RTLS-systemen moet tijdens het transport (TLS 1.2+) en in rust (AES-256) worden versleuteld. Auditlogboeken moeten elke PHI-toegang vastleggen en worden bewaard volgens de staatswet (meestal 6 jaar).

De reactie op het datalek — inclusief het 60-dagen waarschuwingsvenster — moet in SOP worden gehouden. Wij ontwerpen de beveiligings- en inbreach-response SOP's als onderdeel van fase 1/fase 3 deliverables, samen met uw privacykantoor.

FAQ

Veelgestelde vragen

Kunnen we een RTLS-systeem inzetten dat helemaal geen PHI aanraakt?

Ja, voor uitzendingen alleen met uitrusting. Tag pompen, bedden en rolstoelen, niet patiënten- of personeelsbadges, en het systeem valt buiten de HIPAA-reikwijdte. Dit is de makkelijkste weg voor biomedische/apparatuurbenuttingsprogramma's.

Welke RTLS-leveranciers zullen een BAA ondertekenen?

De meeste enterprise-leveranciers van de gezondheidszorg - RTLS doen dat wel (Stanley Healthcare, CenTrak, Sonitor, Kontakt .io, Aruba, Cisco).

Sommige industriële leveranciers zullen dat niet doen — ze zitten niet in deze markt. We verifiëren de bereidheid van BAA tijdens de shortlist van leveranciers in fase 1.

Hoe wordt rapportage over handhygiëne-naleving afgehandeld onder HIPAA?

Voorzichtig. Geaggregeerde rapportage van naleving op eenheids- of ploegenniveau valt over het algemeen buiten HIPAA.

Individuele medewerking, toegeschreven aan een benoemde behandelaar die een benoemde patiënt behandelt, kan HIPAA inschakelen afhankelijk van de context. De meeste programma's rapporteren op eenheidsniveau om zowel HIPAA- als arbeidsrelatieredenen.

Hebben we een OCR-achtig auditpakket nodig?

Aanrader. We stellen een implementatieauditpakket samen met risicobeoordeling, technische controles, trainingsgegevens, BAA-inventaris, breach response SOP en lopende monitoringsbewijs. Jaarlijks bijgewerkt of bij materiële wijzigingen.

Laatst bijgewerkt: 26 mei 2026

HIPAA &amp; RTLS in de gezondheidszorg.