<div dir="ltr"><div>I really don't understand what this is about. Can someone present a very simple example?<br><br></div><div>It seems to me that whatever this persistence issue is, it might be cleared in the Vectors of Trust thread from this weekend.<br><br></div><div>Confused Adrian<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 29, 2015 at 8:06 PM, Aaron Seib <span dir="ltr"><<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Either they are going to trust the guy who provides the antecedent claim or they are going to revalidate the credentials he\she happened to capture at the start of each transaction.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">If the relying party is going to revalidate the credential there isn’t much point in using the antecedent concept.  We are just trusting the provider to store the credentials he collected and present them for us to validate again.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I would argue that historically providers have trusted other providers to sufficiently ID Proof patients that they have a common care delivery relationship with and it is up to the doc to decide if he trust the other doc to do it electronically or not.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">That way you only do additional credentialing for the transactions that require it (but not when the purpose is for Treatment between two docs or to communicate with the consumer) hence keeping the overall cost down using the ability to remotely identity proof when the use case requires (self referral for telemedicine, allowing a remote proxy access to a consumer account, presenting medical evidence for beneficiary claims, sharing medical records with insures for life insurance qualification, etc.).<u></u><u></u></span></p><span class=""><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron Seib, CEO<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> (o) <a href="tel:301-540-2311" value="+13015402311" target="_blank">301-540-2311</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(m) <a href="tel:301-326-6843" value="+13013266843" target="_blank">301-326-6843</a><u></u><u></u></span></p><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d;text-decoration:none"><img src="cid:image001.jpg@01D0B2A7.250BD780" height="48" border="0" width="205"></span></a><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p></span><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Debbie Bucci [mailto:<a href="mailto:debbucci@gmail.com" target="_blank">debbucci@gmail.com</a>] <br><b>Sent:</b> Monday, June 29, 2015 7:45 PM</span></p><div><div class="h5"><br><b>To:</b> Aaron Seib<br><b>Cc:</b> Glen Marshall [SRS]; <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> Re: [Openid-specs-heart] Persistence of Credentials<u></u><u></u></div></div><p></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Purely speculation  <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Do not think PHR would not store the information only the provider's gold star or trustmark(?) for the source event  -if that was even possible.<u></u><u></u></p></div></div><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Mon, Jun 29, 2015 at 7:38 PM, Aaron Seib <<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>> wrote:<u></u><u></u></p><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Ah – now that is helpful.  I think of it in different terms.  It isn’t so much a credential per se as a claim that the antecedent process took place and if you trust the operator of that process you can trust the claim.</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Credential has baggage in my head these days.  Do you need to retain my Driver’s License Number to be trusted to have substantiated that I am who I am through a patient-provider relationship?  </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I can trust that the guy who is getting reimbursed by the hospital that credentialed him to provide care in the facility isn’t going to fake a relationship with a patient in most cases and I am not so sure that just because he can produce a matching drivers license number for that person is that big of a evidentiary hurdle for some body intent on committing fraud to acquire.  Hence the excellence of Glen’s question.</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">What would the pros of storing these be?  Or am I still grasping around in the dark?</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron Seib, CEO</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(o) <a href="tel:301-540-2311" target="_blank">301-540-2311</a></span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(m) <a href="tel:301-326-6843" target="_blank">301-326-6843</a></span><u></u><u></u></p><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d;text-decoration:none"><img src="cid:image002.jpg@01D0B2A7.250BD780" height="48" border="0" width="205"></span></a><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Debbie Bucci [mailto:<a href="mailto:debbucci@gmail.com" target="_blank">debbucci@gmail.com</a>] <br><b>Sent:</b> Monday, June 29, 2015 7:27 PM<br><b>To:</b> Aaron Seib<br><b>Cc:</b> Glen Marshall [SRS]; <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> Re: [Openid-specs-heart] Persistence of Credentials</span><u></u><u></u></p><div><div><p class="MsoNormal"> <u></u><u></u></p><div><div><p class="MsoNormal">Aaron,<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal">The context for you and others that follow along  ...  the PHR has a strong token with no identity proofing.  At the time of registration - the token is bound to the credential (binding ceremony) that results in a strong identity.   If there was some persistence in the process - that identity proofing could potentially be reference in the future.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal">There is a precedence for it in the Fed PKI world  ... antecedent in-person event <u></u><u></u></p></div><div><p>Hence, a proposed antecedent process must 1) meet the thoroughness (rigor) of the in-person event, 2) provide supporting ID proofing artifacts or substantiate the applicant through a relationship, and 3) bind the individual to asserted identity <u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p><div><p class="MsoNormal">On Mon, Jun 29, 2015 at 7:05 PM, Aaron Seib <<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>> wrote:<u></u><u></u></p><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Glen – can you help me understand what you are asking.  </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Should HEART have a constraint on persistence of end-user credentials.</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Maybe I am being captain obvious here or I am really stupid (or I am procrastinating on a writing assignment I was giving that isn’t jumping out of my head the way I wish it would) but why on earth would we be considering the persistence of user attributes in this domain?</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Not only do many of the attributes\credentials you list change over time there is no reason that I can imagine why we need to store such information at a EMR\PHR when we have modern credential management processes.  </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><br>Again, ready for my beating as I wasn’t on the call and am procrastinating on a writing assignment.  </span><span style="font-size:11.0pt;font-family:Wingdings;color:#1f497d">J</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Are there proponents of this idea?  It just seems like another place for sensitive data to be breached from to me.  The only reason you might do it is that it is a convenience to the consumer and he granted you permission to store it, right?  I wouldn’t call that a credential anymore.  I might be using the language differently.</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron Seib, CEO</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(o) <a href="tel:301-540-2311" target="_blank">301-540-2311</a></span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(m) <a href="tel:301-326-6843" target="_blank">301-326-6843</a></span><u></u><u></u></p><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d;text-decoration:none"><img src="cid:image003.jpg@01D0B2A7.250BD780" height="48" border="0" width="205"></span></a><u></u><u></u></p></div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><div><div style="border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;border-color:currentColor"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Openid-specs-heart [mailto:<a href="mailto:openid-specs-heart-bounces@lists.openid.net" target="_blank">openid-specs-heart-bounces@lists.openid.net</a>] <b>On Behalf Of </b>Glen Marshall [SRS]<br><b>Sent:</b> Monday, June 29, 2015 4:43 PM<br><b>To:</b> Debbie Bucci; <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> [Openid-specs-heart] Persistence of Credentials</span><u></u><u></u></p></div></div><div><div><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">In today's call I asked a question regarding the persistence of end-user identification credentials.  Some of the ones being discussed, e.g., driver's license, credit card, e-mail address, etc., have a significant likelihood of changing between patient visits.  End-users are also likely to fail to remember what credentials were used previously.<br><br>Given this, should HEART have a constraint on the persistence of end-user credentials?<br><br>There may be similar issues with client systems maintaining current credentials. <u></u><u></u></p><div><p><b>Glen F. Marshall</b><br>Consultant<br>Security Risk Solutions, Inc.<br>698 Fishermans Bend<br>Mount Pleasant, SC 29464<br>Tel: <a href="tel:%28610%29%20644-2452" target="_blank">(610) 644-2452</a><br>Mobile: <a href="tel:%28610%29%20613-3084" target="_blank">(610) 613-3084</a><br><a href="mailto:gfm@securityrs.com" target="_blank">gfm@securityrs.com</a><br><a href="http://www.SecurityRiskSolutions.com" target="_blank">www.SecurityRiskSolutions.com</a><u></u><u></u></p></div><div><p class="MsoNormal">On 6/28/15 08:42, Debbie Bucci wrote:<u></u><u></u></p></div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><div><div><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Times","serif""><br>When: 1 PM PST/4 PM EST</span></b> <u></u><u></u></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Times","serif"">Where: Gotomeeting – </span></b><span style="font-size:10.0pt;font-family:"Times","serif""><a href="https://global.gotomeeting.com/join/785234357" target="_blank">https://global.gotomeeting.com/join/785234357</a></span><u></u><u></u></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Times","serif"">US phone number</span></b><span style="font-size:10.0pt;font-family:"Times","serif"">: <a href="tel:%2B1%20%28619%29%20550-0003" target="_blank"><span style="color:#0066cc">+1 (619) 550-0003</span></a>. Access Code 785-234-357</span><u></u><u></u></p><p class="MsoNormal"><b><span style="font-size:10.0pt">   </span></b><u></u><u></u></p><p class="MsoNormal"><span style="font-size:10.0pt"> </span><u></u><u></u></p><p class="MsoNormal"><b><span style="font-size:10.0pt">Agenda :</span></b><u></u><u></u></p><p class="MsoNormal" style="margin-left:47.25pt"><span style="font-size:10.0pt;font-family:Symbol">·</span><span style="font-size:7.0pt">        </span><span style="font-size:10.0pt">Roll call </span><u></u><u></u></p><p class="MsoNormal" style="margin-left:47.25pt"><span style="font-size:10.0pt;font-family:Symbol">·</span><span style="font-size:7.0pt">        </span><span style="font-size:10.0pt"> PHR or Patient Portal (client)  to PCP or Patient portal (protected resource)  Introduction</span><u></u><u></u></p><p class="MsoNormal" style="margin-left:47.25pt"><span style="font-size:10.0pt;font-family:Symbol">·</span><span style="font-size:7.0pt">        </span><span style="font-size:10.0pt">AOB</span><u></u><u></u></p><p> <u></u><u></u></p><p>For tomorrow's call,  I would like us to focus on the following assumption/fact: The PHR is already recognized by the PCP prior to the patient's engagement.   <u></u><u></u></p><p>What are the sequence flows, scopes and policy decisions that need be prearranged/agreed upon to support the following during the patient registration process:<u></u><u></u></p><ul type="disc"><li class="MsoNormal">Update the patient portal from her PHR.<u></u><u></u></li><li class="MsoNormal">Update her PHR from the patient portal<u></u><u></u></li><li class="MsoNormal">Sync the patient portal with her PHR.<u></u><u></u></li></ul><p> <u></u><u></u></p></div></div></div><p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p><pre>_______________________________________________<u></u><u></u></pre><pre>Openid-specs-heart mailing list<u></u><u></u></pre><pre><a href="mailto:Openid-specs-heart@lists.openid.net" target="_blank">Openid-specs-heart@lists.openid.net</a><u></u><u></u></pre><pre><a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><u></u><u></u></pre></blockquote><p class="MsoNormal"> <u></u><u></u></p></div></div></div></div></div><p class="MsoNormal"> <u></u><u></u></p></div></div></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></div><br>_______________________________________________<br>
Openid-specs-heart mailing list<br>
<a href="mailto:Openid-specs-heart@lists.openid.net">Openid-specs-heart@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr">Adrian Gropper MD<span style="font-size:11pt"></span><font size="1"><br><font size="2">Ensure Health Information Privacy. Support Patient Privacy Rights.<br></font></font><span style="font-size:11pt"><font size="1"></font></span><font size="2"><a href="http://patientprivacyrights.org/donate-2/" target="_blank"><font color="blue"><u>http://patientprivacyrights.org/donate-2/</u></font></a><font color="blue"><u>  </u></font></font><span style="font-size:11pt"></span><span style="font-size:11pt"></span><span style="font-size:11pt"><font size="1"> <br></font><div></div></span><br></div></div>
</div>