<div dir="ltr"><div>Purely speculation  </div><div><br></div><div>Do not think PHR would not store the information only the provider's gold star or trustmark(?) for the source event  -if that was even possible.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 29, 2015 at 7:38 PM, Aaron Seib <span dir="ltr"><<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Ah – now that is helpful.  I think of it in different terms.  It isn’t so much a credential per se as a claim that the antecedent process took place and if you trust the operator of that process you can trust the claim.<u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Credential has baggage in my head these days.  Do you need to retain my Driver’s License Number to be trusted to have substantiated that I am who I am through a patient-provider relationship?  <u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">I can trust that the guy who is getting reimbursed by the hospital that credentialed him to provide care in the facility isn’t going to fake a relationship with a patient in most cases and I am not so sure that just because he can produce a matching drivers license number for that person is that big of a evidentiary hurdle for some body intent on committing fraud to acquire.  Hence the excellence of Glen’s question.<u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">What would the pros of storing these be?  Or am I still grasping around in the dark?<u></u><u></u></span></p><span><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Aaron Seib, CEO<u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"> (o) <a href="tel:301-540-2311" target="_blank" value="+13015402311">301-540-2311</a><u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">(m) <a href="tel:301-326-6843" target="_blank" value="+13013266843">301-326-6843</a><u></u><u></u></span></p><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt;text-decoration:none"><img width="205" height="48" src="cid:image002.jpg@01D0B2A3.1D92FCD0" border="0"></span></a><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p></span><p class="MsoNormal"><b><span style="font-family:"Tahoma","sans-serif";font-size:10pt">From:</span></b><span style="font-family:"Tahoma","sans-serif";font-size:10pt"> Debbie Bucci [mailto:<a href="mailto:debbucci@gmail.com" target="_blank">debbucci@gmail.com</a>] <br><b>Sent:</b> Monday, June 29, 2015 7:27 PM<br><b>To:</b> Aaron Seib<br><b>Cc:</b> Glen Marshall [SRS]; <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> Re: [Openid-specs-heart] Persistence of Credentials<u></u><u></u></span></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Aaron,<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">The context for you and others that follow along  ...  the PHR has a strong token with no identity proofing.  At the time of registration - the token is bound to the credential (binding ceremony) that results in a strong identity.   If there was some persistence in the process - that identity proofing could potentially be reference in the future.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">There is a precedence for it in the Fed PKI world  ... antecedent in-person event <u></u><u></u></p></div><div><p>Hence, a proposed antecedent process must 1) meet the thoroughness (rigor) of the in-person event, 2) provide supporting ID proofing artifacts or substantiate the applicant through a relationship, and 3) bind the individual to asserted identity <u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Mon, Jun 29, 2015 at 7:05 PM, Aaron Seib <<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>> wrote:<u></u><u></u></p><div><div><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Glen – can you help me understand what you are asking.  </span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"> </span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Should HEART have a constraint on persistence of end-user credentials.</span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"> </span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Maybe I am being captain obvious here or I am really stupid (or I am procrastinating on a writing assignment I was giving that isn’t jumping out of my head the way I wish it would) but why on earth would we be considering the persistence of user attributes in this domain?</span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"> </span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Not only do many of the attributes\credentials you list change over time there is no reason that I can imagine why we need to store such information at a EMR\PHR when we have modern credential management processes.  </span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><br>Again, ready for my beating as I wasn’t on the call and am procrastinating on a writing assignment.  </span><span style="color:rgb(31,73,125);font-family:Wingdings;font-size:11pt">J</span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"> </span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Are there proponents of this idea?  It just seems like another place for sensitive data to be breached from to me.  The only reason you might do it is that it is a convenience to the consumer and he granted you permission to store it, right?  I wouldn’t call that a credential anymore.  I might be using the language differently.</span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"> </span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Aaron</span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"> </span><u></u><u></u></p><div><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Aaron Seib, CEO</span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">(o) <a href="tel:301-540-2311" target="_blank">301-540-2311</a></span><u></u><u></u></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">(m) <a href="tel:301-326-6843" target="_blank">301-326-6843</a></span><u></u><u></u></p><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt;text-decoration:none"><img width="205" height="48" src="cid:image003.jpg@01D0B2A3.1D92FCD0" border="0"></span></a><u></u><u></u></p></div><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"> </span><u></u><u></u></p><div><div style="border-width:1pt medium medium;border-style:solid none none;border-color:currentColor;padding:3pt 0in 0in"><p class="MsoNormal"><b><span style="font-family:"Tahoma","sans-serif";font-size:10pt">From:</span></b><span style="font-family:"Tahoma","sans-serif";font-size:10pt"> Openid-specs-heart [mailto:<a href="mailto:openid-specs-heart-bounces@lists.openid.net" target="_blank">openid-specs-heart-bounces@lists.openid.net</a>] <b>On Behalf Of </b>Glen Marshall [SRS]<br><b>Sent:</b> Monday, June 29, 2015 4:43 PM<br><b>To:</b> Debbie Bucci; <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> [Openid-specs-heart] Persistence of Credentials</span><u></u><u></u></p></div></div><div><div><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">In today's call I asked a question regarding the persistence of end-user identification credentials.  Some of the ones being discussed, e.g., driver's license, credit card, e-mail address, etc., have a significant likelihood of changing between patient visits.  End-users are also likely to fail to remember what credentials were used previously.<br><br>Given this, should HEART have a constraint on the persistence of end-user credentials?<br><br>There may be similar issues with client systems maintaining current credentials. <u></u><u></u></p><div><p><b>Glen F. Marshall</b><br>Consultant<br>Security Risk Solutions, Inc.<br>698 Fishermans Bend<br>Mount Pleasant, SC 29464<br>Tel: <a href="tel:%28610%29%20644-2452" target="_blank">(610) 644-2452</a><br>Mobile: <a href="tel:%28610%29%20613-3084" target="_blank">(610) 613-3084</a><br><a href="mailto:gfm@securityrs.com" target="_blank">gfm@securityrs.com</a><br><a href="http://www.SecurityRiskSolutions.com" target="_blank">www.SecurityRiskSolutions.com</a><u></u><u></u></p></div><div><p class="MsoNormal">On 6/28/15 08:42, Debbie Bucci wrote:<u></u><u></u></p></div><blockquote style="margin-top:5pt;margin-bottom:5pt"><div><div><div><p class="MsoNormal"><b><span style="font-family:"Times","serif";font-size:10pt"><br>When: 1 PM PST/4 PM EST</span></b> <u></u><u></u></p><p class="MsoNormal"><b><span style="font-family:"Times","serif";font-size:10pt">Where: Gotomeeting – </span></b><span style="font-family:"Times","serif";font-size:10pt"><a href="https://global.gotomeeting.com/join/785234357" target="_blank">https://global.gotomeeting.com/join/785234357</a></span><u></u><u></u></p><p class="MsoNormal"><b><span style="font-family:"Times","serif";font-size:10pt">US phone number</span></b><span style="font-family:"Times","serif";font-size:10pt">: <a href="tel:%2B1%20%28619%29%20550-0003" target="_blank"><span style="color:rgb(0,102,204)">+1 (619) 550-0003</span></a>. Access Code 785-234-357</span><u></u><u></u></p><p class="MsoNormal"><b><span style="font-size:10pt">   </span></b><u></u><u></u></p><p class="MsoNormal"><span style="font-size:10pt"> </span><u></u><u></u></p><p class="MsoNormal"><b><span style="font-size:10pt">Agenda :</span></b><u></u><u></u></p><p class="MsoNormal" style="margin-left:47.25pt"><span style="font-family:Symbol;font-size:10pt">·</span><span style="font-size:7pt">        </span><span style="font-size:10pt">Roll call </span><u></u><u></u></p><p class="MsoNormal" style="margin-left:47.25pt"><span style="font-family:Symbol;font-size:10pt">·</span><span style="font-size:7pt">        </span><span style="font-size:10pt"> PHR or Patient Portal (client)  to PCP or Patient portal (protected resource)  Introduction</span><u></u><u></u></p><p class="MsoNormal" style="margin-left:47.25pt"><span style="font-family:Symbol;font-size:10pt">·</span><span style="font-size:7pt">        </span><span style="font-size:10pt">AOB</span><u></u><u></u></p><p> <u></u><u></u></p><p>For tomorrow's call,  I would like us to focus on the following assumption/fact: The PHR is already recognized by the PCP prior to the patient's engagement.   <u></u><u></u></p><p>What are the sequence flows, scopes and policy decisions that need be prearranged/agreed upon to support the following during the patient registration process:<u></u><u></u></p><ul type="disc"><li class="MsoNormal">Update the patient portal from her PHR.<u></u><u></u></li><li class="MsoNormal">Update her PHR from the patient portal<u></u><u></u></li><li class="MsoNormal">Sync the patient portal with her PHR.<u></u><u></u></li></ul><p> <u></u><u></u></p></div></div></div><p class="MsoNormal" style="margin-bottom:12pt"><br><br><u></u><u></u></p><pre>_______________________________________________<u></u><u></u></pre><pre>Openid-specs-heart mailing list<u></u><u></u></pre><pre><a href="mailto:Openid-specs-heart@lists.openid.net" target="_blank">Openid-specs-heart@lists.openid.net</a><u></u><u></u></pre><pre><a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><u></u><u></u></pre></blockquote><p class="MsoNormal"> <u></u><u></u></p></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></div></div></blockquote></div><br></div>