Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Can we deploy an RTLS system that doesn't touch PHI at all?

Yes, for equipment-only deployments. Tag pumps, beds and wheelchairs, not patients or staff badges, and the system is out of HIPAA scope. This is the easiest path for biomed/equipment-utilisation programmes.

Which RTLS vendors will sign a BAA?

Most enterprise healthcare-RTLS vendors will (Stanley Healthcare, CenTrak, Sonitor, Kontakt.io, Aruba, Cisco). Some industrial vendors won't — they're not in this market. We verify BAA-willingness during vendor shortlisting in stage 1.

How is hand-hygiene compliance reporting handled under HIPAA?

Carefully. Aggregate compliance reporting at unit or shift level is generally outside HIPAA. Individual staff compliance, attributable to a named clinician treating a named patient, can engage HIPAA depending on context. Most programmes report at unit level for both HIPAA and labour-relations reasons.

Do we need an OCR-style audit pack?

Recommended. We assemble a deployment audit pack covering risk assessment, technical controls, training records, BAA inventory, breach-response SOP and ongoing-monitoring evidence. Updated annually or on material change.

CONFORMIDADE · SAÚDE

HIPAA & RTLS na área da saúde.

Implantações hospitalares RTLS rotineiramente tocam PHI — às vezes de forma óbvia (marcação de fluxo de pacientes), às vezes incidentalmente (crachás de funcionários que também se correlacionam com pacientes designados).

A HIPAA se aplica. Este é o resumo em nível de operador do que muda na implantação.

Agende uma ligação de 30 minutos para definir o escopo

O que conta como PHI em um contexto RTLS

A PHI atua sempre que dados de localização podem ser vinculados a um paciente identificável. Marcar uma bomba de infusão não é PHI. Marcar uma pulseira de paciente é.

A identificação de crachás de equipe que podem ser atribuídos a um paciente específico em um dado momento pode ser PHI por combinação. A escolha correta de arquitetura é: separar a infraestrutura de localização da camada de identificação do paciente, com joins controlados.

Acordos de Associados Comerciais (BAAs)

Qualquer fornecedor RTLS cuja plataforma armazene, processe ou transmita PHI em seu nome é um Associado de Negócios e exige um BAA. Isso inclui plataformas RTLS hospedadas na nuvem (a maioria), operadores de serviços gerenciados e parceiros SI com acesso à plataforma.

Fornecedores que se recusam a assinar um BAA não podem hospedar implantações ligadas a PHI — isso desqualifica um número significativo de fornecedores RTLS fortes. Verifique a disposição da BAA cedo.

Acesso mínimo necessário e baseado em função

A regra do mínimo necessário da HIPAA significa que a equipe clínica deve ver apenas os dados de localização que precisa para sua função.

Enfermeiros veem o fluxo de pacientes em sua unidade; O biomédico vê a localização dos equipamentos; segurança vê o acesso à zona; Ninguém vê tudo rotineiramente.

Isso requer acesso baseado em funções na camada da plataforma com registro de auditoria. Configurações padrão de fornecedores raramente implementam isso bem — é uma decisão de design de estágio 1.

Criptografia, auditoria e resposta a violações

A PHI em sistemas RTLS deve ser criptografada em trânsito (TLS 1.2+) e em repouso (AES-256). Os registros de auditoria devem capturar todos os acessos de PHI e ser mantidos conforme a lei estadual (normalmente por 6 anos).

A resposta a violações — incluindo a janela de notificação de 60 dias — deve ser protocolada conforme procedimento padrão.

Projetamos os procedimentos de segurança e resposta a violações como parte dos entregáveis das etapas 1 / etapa 3, em conjunto com seu escritório de privacidade.

FAQ

Perguntas frequentes

Podemos implantar um sistema RTLS que não toque PHI?

Sim, para implantações apenas com equipamentos. Marque bombas, camas e cadeiras de rodas, não crachás de pacientes ou funcionários, e o sistema está fora do escopo da HIPAA. Esse é o caminho mais fácil para programas de biomedicina/utilização de equipamentos.

Quais fornecedores de RTLS assinarão um BAA?

A maioria dos fornecedores de RTLS em saúde empresarial (Stanley Healthcare, CenTrak, Sonitor, Kontakt .io, Aruba, Cisco). Alguns fornecedores industriais não — eles não estão nesse mercado. Verificamos a disposição da BAA durante a pré-seleção de fornecedores na fase 1.

Como é tratado o relatório de conformidade com a higiene das mãos sob a HIPAA?

Com cuidado. O relatório agregado de conformidade em nível de unidade ou turno geralmente está fora da HIPAA.

A adesão individual da equipe, atribuída ao atendimento de um clínico nomeado ao paciente nomeado, pode envolver a HIPAA dependendo do contexto. A maioria dos programas reporta em nível de unidade tanto por razões de HIPAA quanto de relações trabalhistas.

Precisamos de um pacote de auditoria no estilo OCR?

Recomendado. Montamos um pacote de auditoria de implantação que cobre avaliação de risco, controles técnicos, registros de treinamento, inventário de BAA, SOP de resposta a violações e evidências de monitoramento contínuo. Atualizado anualmente ou em caso de mudança de material.

Última atualização: 26 de maio de 2026

HIPAA &amp; RTLS na área da saúde.