Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Can we deploy an RTLS system that doesn't touch PHI at all?

Yes, for equipment-only deployments. Tag pumps, beds and wheelchairs, not patients or staff badges, and the system is out of HIPAA scope. This is the easiest path for biomed/equipment-utilisation programmes.

Which RTLS vendors will sign a BAA?

Most enterprise healthcare-RTLS vendors will (Stanley Healthcare, CenTrak, Sonitor, Kontakt.io, Aruba, Cisco). Some industrial vendors won't — they're not in this market. We verify BAA-willingness during vendor shortlisting in stage 1.

How is hand-hygiene compliance reporting handled under HIPAA?

Carefully. Aggregate compliance reporting at unit or shift level is generally outside HIPAA. Individual staff compliance, attributable to a named clinician treating a named patient, can engage HIPAA depending on context. Most programmes report at unit level for both HIPAA and labour-relations reasons.

Do we need an OCR-style audit pack?

Recommended. We assemble a deployment audit pack covering risk assessment, technical controls, training records, BAA inventory, breach-response SOP and ongoing-monitoring evidence. Updated annually or on material change.

ZGODNOŚĆ · OPIEKA ZDROWOTNA

HIPAA i RTLS w opiece zdrowotnej.

Wdrożenia szpitala RTLS rutynowo dotykają PHI — czasem oczywiście (tagowanie przepływu pacjenta), czasem przypadkowo (identyfikatory personelu, które również korelują z przypisanymi pacjentami).

HIPAA obowiązuje. To jest podsumowanie na poziomie operatora dotyczące zmian w rozdrożeniu.

Umów się na 30-minutową rozmowę z zakresem

Co się liczy jako PHI w kontekście RTLS

PHI aktywuje się za każdym razem, gdy dane lokalizacyjne można powiązać z identyfikowalnym pacjentem. Oznaczanie pompy infuzyjnej nie jest PHI. Oznaczanie opaski na nadgarstek pacjenta już tak.

Oznaczanie identyfikatorów personelu, które akurat można przypisać konkretnemu pacjentowi w danym momencie, może być PHI przez kombinację.

Właściwy wybór architektoniczny to: oddzielenie infrastruktury lokalizacji od warstwy identyfikacji pacjenta, za pomocą kontrolowanych połączeń.

Umowy o współpracy biznesowej (BAA)

Każdy dostawca RTLS, którego platforma przechowuje, przetwarza lub przesyła PHI w Twoim imieniu, jest Partnerem Biznesowym i wymaga BAA. Obejmuje to platformy RTLS hostowane w chmurze (większość), operatorów usług zarządzanych oraz partnerów SI z dostępem do platform.

Dostawcy, którzy odmawiają podpisania BAA, nie mogą hostować wdrożeń powiązanych z PHI — to dyskwalifikuje znaczącą liczbę silnych dostawców RTLS. Sprawdź gotowość BAA na początku.

Minimalny dostęp niezbędny i oparty na rolach

Zasada minimalnego niezbędnego według HIPAA oznacza, że personel kliniczny powinien widzieć tylko dane lokalizacyjne potrzebne do swojej roli.

Pielęgniarki obserwują przepływ pacjentów na swoim oddziale; Biomed sprawdza lokalizację sprzętu; bezpieczeństwo kontroluje dostęp do stref; Nikt rutynowo nie widzi wszystkiego.

Wymaga to dostępu opartego na rolach na warstwie platformy wraz z logowaniem audytów. Domyślne konfiguracje producentów rzadko dobrze to implementują — to decyzja projektowa na etapie 1.

Szyfrowanie, audyt i reagowanie na naruszenia

PHI w systemach RTLS musi być szyfrowane podczas przesyłania (TLS 1.2+) i w spoczynku (AES-256). Dzienniki audytowe muszą rejestrować każdy dostęp do PHI i być przechowywane zgodnie z prawem stanowym (zazwyczaj przez 6 lat).

Reakcja na naruszenia — w tym 60-dniowe okno powiadomień — musi być proceduralnie stosowana (SOP). Projektujemy procedury bezpieczeństwa i reagowania na naruszenia jako część zadań etapu 1 / etapu 3, wspólnie z Twoim biurem ds. prywatności.

FAQ

Najczęściej zadawane pytania

Czy możemy wdrożyć system RTLS, który w ogóle nie obsługuje PHI?

Tak, dotyczy to tylko rozmieszczeń sprzętowych. Pompy tagowe, łóżka i wózki inwalidzkie, nie pacjentów czy identyfikatorów personelu, a system jest poza zakresem HIPAA. To najprostsza droga dla programów biomedycznych/wykorzystania sprzętu.

Którzy dostawcy RTLS podpiszą BAA?

Większość dostawców opieki zdrowotnej dla przedsiębiorstw – RTLS (Stanley Healthcare, CenTrak, Sonitor, Kontakt .io, Aruba, Cisco). Niektórzy dostawcy przemysłowi nie chcą — nie działają na tym rynku. Weryfikujemy gotowość BAA podczas krótkiej listy dostawców na etapie 1.

Jak obsługiwane jest raportowanie zgodności z higieną rąk zgodnie z HIPAA?

Ostrożnie. Agregowane raportowanie zgodności na poziomie jednostki lub zmiany zazwyczaj nie jest zgodne z HIPAA.

Indywidualna zgodność personelu, wynikająca z wskazanego klinicysty leczącego pacjenta, może dotyczyć HIPAA w zależności od kontekstu. Większość programów raportuje na poziomie jednostek zarówno ze względów HIPAA, jak i stosunków pracowniczych.

Czy potrzebujemy pakietu audytowego w stylu OCR?

Polecam. Opracowujemy pakiet audytu wdrożenia, obejmujący ocenę ryzyka, kontrole techniczne, dokumentację szkoleniową, inwentaryzację BAA, SOP reagowania na naruszenia oraz dowody bieżącego monitoringu. Aktualizowane corocznie lub na podstawie zmian istotnych.

Ostatnia aktualizacja: 26 maja 2026