<div dir="ltr">I would like to know more about IDESG <span style="color:rgb(3,35,60);font-family:Verdana,Arial,Helvetica,sans-serif">Identity Ecosystem Steering Group, Inc. Seems critically important to the openid-heart work. I don't understand the </span><em style="color:rgb(101,101,101);font-family:Verdana,Tahoma,'DejaVu Sans',sans-serif;font-size:12px;line-height:18px"><strong>Identity Ecosystem Framework".</strong></em></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 24, 2015 at 8:00 AM,  <span dir="ltr"><<a href="mailto:openid-specs-heart-request@lists.openid.net" target="_blank">openid-specs-heart-request@lists.openid.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send Openid-specs-heart mailing list submissions to<br>
        <a href="mailto:openid-specs-heart@lists.openid.net">openid-specs-heart@lists.openid.net</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:openid-specs-heart-request@lists.openid.net">openid-specs-heart-request@lists.openid.net</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:openid-specs-heart-owner@lists.openid.net">openid-specs-heart-owner@lists.openid.net</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Openid-specs-heart digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Re: Vectors of Trust - HEART Edition (Adrian Gropper)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Thu, 23 Jul 2015 14:01:46 -0400<br>
From: Adrian Gropper <<a href="mailto:agropper@healthurl.com">agropper@healthurl.com</a>><br>
To: "<a href="mailto:openid-specs-heart@lists.openid.net">openid-specs-heart@lists.openid.net</a>"<br>
        <<a href="mailto:openid-specs-heart@lists.openid.net">openid-specs-heart@lists.openid.net</a>><br>
Subject: Re: [Openid-specs-heart] Vectors of Trust - HEART Edition<br>
Message-ID:<br>
        <<a href="mailto:CANYRo8j_bE0oXgUKAf3psJCwZw8Csg%2B5c5Q6b329woBPm453NQ@mail.gmail.com">CANYRo8j_bE0oXgUKAf3psJCwZw8Csg+5c5Q6b329woBPm453NQ@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Genomic and other family-related protected resources is another reason FHIR<br>
must allow a patient-specified UMA authorization server. Without UMA,<br>
there's no hope of coordinating access to family-related info. Here's a<br>
good example.<br>
<br>
<a href="https://github.com/offapi/rbac-23andme-oauth2" rel="noreferrer" target="_blank">https://github.com/offapi/rbac-23andme-oauth2</a><br>
<br>
My 23andMe genetic profile is already out there ready to be used in all<br>
sorts of ways. My release of this information impacts my entire family.<br>
Unless me and my family members can each choose their OAuth authorization<br>
server with UMA, what hope do we have of coordinating the release of this<br>
kind of information to various third parties?<br>
<br>
Adrian<br>
<br>
<br>
<br>
On Tue, Jul 21, 2015 at 5:09 PM, Adrian Gropper <<a href="mailto:agropper@healthurl.com">agropper@healthurl.com</a>><br>
wrote:<br>
<br>
> A post about harmonizing the Argonaut and HEART approaches to FHIR:<br>
><br>
><br>
> <a href="http://thehealthcareblog.com/blog/2015/07/20/standards-alone-are-not-the-answer-for-interoperability/" rel="noreferrer" target="_blank">http://thehealthcareblog.com/blog/2015/07/20/standards-alone-are-not-the-answer-for-interoperability/</a><br>
><br>
> Adrian<br>
><br>
> On Fri, Jul 17, 2015 at 7:52 AM, Adrian Gropper <<a href="mailto:agropper@healthurl.com">agropper@healthurl.com</a>><br>
> wrote:<br>
><br>
>> I think all of us agree with Jocelyn Samuels that health data privacy and<br>
>> security can coexist (<br>
>> <a href="http://www.fiercehealthit.com/story/jocelyn-samuels-privacy-and-data-sharing-can-coexist/2015-06-04" rel="noreferrer" target="_blank">http://www.fiercehealthit.com/story/jocelyn-samuels-privacy-and-data-sharing-can-coexist/2015-06-04</a><br>
>> ). What does this specifically mean in the context of HEART and our current<br>
>> conversation about OAuth and UMA profiles?<br>
>><br>
>> I'm adopting the phrase "vectors of trust" for this discussion because I<br>
>> think it applies to authorization in the same way it does to<br>
>> authentication. (For those that wish to dive in, there's a major healthcare<br>
>> patient authentication discussion underway in IDESG that you can ask me<br>
>> about.)<br>
>><br>
>> Do scopes have anything to do with vectors of trust in the HEART<br>
>> authorization model? I'm having a hard time following the current<br>
>> discussion about scopes and how they relate to SMART on FHIR and Argonaut.<br>
>> To avoid the compromise of privacy vs. security we need to deal with the<br>
>> vectors of trust _before_ we profile scopes. This may be more true of UMA<br>
>> than it is for OAuth but I think it applies to both.<br>
>><br>
>> To avoid a compromise between security and privacy, the RS must be<br>
>> granted a safe harbor for API access by the authenticated and autonomous<br>
>> resource owner. This protects the security interest of the RS and the<br>
>> privacy interest of the RO.<br>
>><br>
>> The trust relationship between RS, AS, and Client must be designed to<br>
>> meet our Charter which includes a requirement of an "independent AS" that<br>
>> could be built by the RO. This is absolutely key to the scalability and<br>
>> generativity of HEART.<br>
>><br>
>> It's less clear about how HEART will deal with a "built" Client or a<br>
>> client that is trusted only by the AS but not the RS. Who decides if the<br>
>> Client can participate in the "safe harbor by the authenticated and<br>
>> autonomous resource owner" contract? The profiling we do around OAuth and<br>
>> UMA should be able to solve this problem and it should probably be done<br>
>> ahead of the scopes discussion.<br>
>><br>
>> I believe that once we understand the issues of an independent AS and of<br>
>> Client trust the difference between UMA vs. OAuth profiles, including<br>
>> scopes, in any particular use-case, will be easy to resolve.<br>
>><br>
>> Adrian<br>
>><br>
>> --<br>
>> Adrian Gropper MD<br>
>> Ensure Health Information Privacy. Support Patient Privacy Rights.<br>
>> *<a href="http://patientprivacyrights.org/donate-2/*" rel="noreferrer" target="_blank">http://patientprivacyrights.org/donate-2/*</a><br>
>> <<a href="http://patientprivacyrights.org/donate-2/" rel="noreferrer" target="_blank">http://patientprivacyrights.org/donate-2/</a>><br>
>><br>
>><br>
><br>
><br>
> --<br>
> Adrian Gropper MD<br>
> Ensure Health Information Privacy. Support Patient Privacy Rights.<br>
> *<a href="http://patientprivacyrights.org/donate-2/*" rel="noreferrer" target="_blank">http://patientprivacyrights.org/donate-2/*</a><br>
> <<a href="http://patientprivacyrights.org/donate-2/" rel="noreferrer" target="_blank">http://patientprivacyrights.org/donate-2/</a>><br>
><br>
><br>
<br>
<br>
--<br>
Adrian Gropper MD<br>
Ensure Health Information Privacy. Support Patient Privacy Rights.<br>
*<a href="http://patientprivacyrights.org/donate-2/*" rel="noreferrer" target="_blank">http://patientprivacyrights.org/donate-2/*</a><br>
<<a href="http://patientprivacyrights.org/donate-2/" rel="noreferrer" target="_blank">http://patientprivacyrights.org/donate-2/</a>><br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://lists.openid.net/pipermail/openid-specs-heart/attachments/20150723/b3454bd7/attachment-0001.html" rel="noreferrer" target="_blank">http://lists.openid.net/pipermail/openid-specs-heart/attachments/20150723/b3454bd7/attachment-0001.html</a>><br>
<br>
------------------------------<br>
<br>
Subject: Digest Footer<br>
<br>
_______________________________________________<br>
Openid-specs-heart mailing list<br>
<a href="mailto:Openid-specs-heart@lists.openid.net">Openid-specs-heart@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><br>
<br>
<br>
------------------------------<br>
<br>
End of Openid-specs-heart Digest, Vol 30, Issue 9<br>
*************************************************<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><font color="#330099">Danny van Leeuwen<br>617-304-4681<br></font><div><b><font color="#330099"><br></font></b><div><b><font color="#330099">Blog <a href="http://www.health-hats.com/" target="_blank">www.health-hats.com</a> <i><span style="font-size:8pt;font-family:'Arial Black',sans-serif">discovering the magic levers of best health</span></i></font></b></div></div><div><b><font color="#330099">Twitter </font></b><b><font color="#330099"><i><span style="font-size:8pt;font-family:'Arial Black',sans-serif">@healthhats</span></i></font></b></div></div>
</div>