<div dir="ltr"><div><div><div><div><div><div><div>Toward the end of the doc, Aaron is asking what "patient-centered" means to the HEART community. <br><br></div>Debbie speaks of patient-centered so maybe she's the official keeper of the term. <br><br></div>As far as I'm concerned, patient-centered means that the patient brings the context for health information exchange. HIE and interop can occur in three different ways:<br></div>- the patient has no choice (e.g.: the hospital tells the patient they use X as in CommonWell - period)<br></div>- the patient has limited choice (e.g.: the hospital asks the patient to opt-in or out of the state HIE)<br></div>- the patient can specify her HIE (e.g.: the patient can tell the hospital to use this Authorization Server)<br></div>My definition of patient-centered is only the third one.<br><br></div>Adrian<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 22, 2015 at 4:24 PM, Aaron Seib <span dir="ltr"><<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thanks Adrian – I added some comments to the document with open ended questions that I hope spur more clarity – at least for me.<u></u><u></u></span></p><span class=""><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron Seib, CEO<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">@CaptBlueButton <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> (o) <a href="tel:301-540-2311" value="+13015402311" target="_blank">301-540-2311</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(m) <a href="tel:301-326-6843" value="+13013266843" target="_blank">301-326-6843</a><u></u><u></u></span></p></span><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d;text-decoration:none"><img src="cid:image001.jpg@01D13CD5.2C926FB0" height="48" border="0" width="205"></span></a><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:agropper@gmail.com" target="_blank">agropper@gmail.com</a> [mailto:<a href="mailto:agropper@gmail.com" target="_blank">agropper@gmail.com</a>] <b>On Behalf Of </b>Adrian Gropper<br><b>Sent:</b> Monday, December 21, 2015 8:08 PM<br><b>To:</b> Justin Richer<br><b>Cc:</b> Aaron Seib; <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> Re: [Openid-specs-heart] Draft HEART Meeting Notes 2015-12-21<u></u><u></u></span></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal" style="margin-bottom:12.0pt">Updated doc with comments and additions.<u></u><u></u></p></div><p class="MsoNormal">Adrian<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Mon, Dec 21, 2015 at 6:16 PM, Justin Richer <<a href="mailto:jricher@mit.edu" target="_blank">jricher@mit.edu</a>> wrote:<u></u><u></u></p><div><p class="MsoNormal">For starters, the decision wasn’t about a single RS having a single AS, but a single Resource having a single AS. A resource server (RS) can have many resources.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"> — Justin<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p><div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><p class="MsoNormal">On Dec 21, 2015, at 5:59 PM, Aaron Seib <<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>> wrote:<u></u><u></u></p></div><p class="MsoNormal"><u></u> <u></u></p><div><div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I am hoping that this is helpful to others.  </span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I think we are a work group divided by a common language at this point and maybe if we could get some concrete terms in place that relate to something for those of us who are at a loss when it comes to how some of the terms being used in various ways by different participants on the call (in what seem to be different ways probably because of the inexperience with the terms on my part anyhow) we might be able to accelerate a common set of terms.</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I wrote this to try to ascertain if my understanding of the discussion about assuming a single AS for a given RS was correct and why.  I also wanted to try to peel back the onion as far as the difference between an RS that related to multiple people (called Bulk Access for some unknowable reason as far as I am concerned) versus an RS that is constrained to a single person.  And to see if I am even in the right neighborhood when it comes to understanding the relationship between a URI and the use of the Term Resource Server.</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Please annotate, hyperlink, cross out or otherwise correct the attached and help me learn.</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thank you,</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron Seib, CEO</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">@CaptBlueButton </span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> (o) <a href="tel:301-540-2311" target="_blank">301-540-2311</a></span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(m) <a href="tel:301-326-6843" target="_blank">301-326-6843</a></span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><image001.jpg></span><u></u><u></u></p></div><div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p></div><div><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Openid-specs-heart [<a href="mailto:openid-specs-heart-bounces@lists.openid.net" target="_blank">mailto:openid-specs-heart-bounces@lists.openid.net</a>] <b>On Behalf Of </b>Sarah Squire<br><b>Sent:</b> Monday, December 21, 2015 5:00 PM<br><b>To:</b> <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> [Openid-specs-heart] Draft HEART Meeting Notes 2015-12-21</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Attendees:</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Debbie Bucci</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Sarah Squire</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin Richer</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve Maler</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen Marshall</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron Seib</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Kenneth Salyards</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Brandon Smith</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian Gropper</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Thomas Sullivan</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Dale Moberg</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Group consensus decision: we will restrict HEART to use cases where one resource is only protected by one authorization server</span></b><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I’ll be working on my use case for quick discussion in January.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Debbie:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Should we talk about one or more authorization servers?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">It seems like sometimes HEART gets bogged down in things that would be better served by a policy group.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I was trying to find the boundaries between specs and policy.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">The API task force is dependent on the HEART group</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">We need to consider the practical operations to move toward a better standardized technology</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">is there a difference between our approach to an individual as opposed to more than one person? We just need to serialize it.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">What do you mean by serialize it? The fact that it is being transmitted means that it’s by definition serialization.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I just meant we should go through the list one thing as a time.</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Are you talking about separating the data so that it’s about one person?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">That’s the way I understand a person would do it.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">We could take the approach that if we’re patient-centric, then back channel transfer of data about multiple-people. Should multiple people be out of scope?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Debbie:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Except when the multiple people are “my family.”</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">It’s in scope in our existing use cases.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Once we allow for multiple patients in a resource, a lot of people who are not as sophisticated are going to bundle discovery. The caregiver has nothing to do with discovery. As soon as you get to the user having role-based access, then there’s a discovery process.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Sarah:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Why wouldn’t you know what’s on the list?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">If there’s a list, you need discovery</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">There’s no discovery</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">From the client’s perspective, how does it know which authorization server to talk to?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Sarah:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">There’s only one authorization server involved in this transaction</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">How do we comply with laws saying that medical records of wives should not be disclosed to abusive husbands?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Sarah:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">By virtue of this system being patient-centered, the patient can control access to her data.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">The resource server can deny an access token for any reason, so you could do it that way.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">If we had a case where there were multiple ASs, it would be possible to have a resource server prepared to interpret all of those rules, some of which may be mutually exclusive. There is no grammar for the combinatoric aspects of multiple ASs.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">There is a project working on that called XACML. It doesn’t work at all.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">XACML doesn’t handle policies coming out of left field like the domestic violence policy.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Why not work with the UMA we have now rather than involving this complicated problem?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I agree. What I was trying to get to is that there is a class of use cases that we shouldn’t be dealing with.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I agree there’s a class of use cases that we don’t have the right tools for. </span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">In clinical research, we often grab bulk data, so solving for that is helpful.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Is there something about UMA 1.0.1 that works for the single authorization server use case</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I cannot figure out from this conversation what the multiple records use case is a problem.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">If a bulk request includes resources with multiple authorization servers, we don’t know which AS to talk to. If we define the bulk access record so that there’s only one AS, it works fine. Or if there’s an implicit AS it’s fine. Throughout all of this, we need to be very clear on the nature of the API that’s being protected when we’re designing security profiles.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">If data is restricted but then aggregated, is that still UMA?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">That’s out of scope. That’s a cache consistency problem.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">But we can do it with chained delegation.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Debbie:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Do they have to be in the same domain?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">They just have to be in the same ecosystem</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">We’re talking about data portability of metadata. A resource set identifier is metadata that’s sensitive information that an AS knows about a user. You’d have to share it with another AS to be portable across networks. So we’re talking about something that I’ve worked on. It’s good that we’re talking about it. It’s not trivial for privacy or portability.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Sarah:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">It sounds like it’s not fully baked enough to be within scope for HEART, correct?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Correct.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Can we restrict HEART to use cases where a resource is only protected by one authorization server?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I agree.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Eve:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I think that’s really reasonable. We know about IT that’s creaky. We shouldn’t be profiling anything that isn’t in the protocols we’re profiling.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Debbie:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">In doing implementations, we might be able to inform standards an update profiles.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Sarah:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Just to be clear, we are all in agreement that we will restrict HEART to use cases where a resource is only protected by one authorization server?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Within the domain? In the IRB case, we would have an authorization server.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">That’s fine as long as we use separate resources.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I agree.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Debbie:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">The data might be replicated and the IRB might acknowledge that the patient has it’s own authorization server, but may replicate those authorizations locally.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Let’s not try to address keeping data in sync.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">So we have two resource types defined, one for an individual, and another for multiple individuals in one data set</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Glen:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Right, and that could be authorization for subsequent access.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">But there’s only ever one authorization server associated with one resource</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Resources that are addressable.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">I run an Accountable Care Organization. I have three pieces of software. Each is a separate data source. I can aggregate them and protect them with one AS. I can’t protect one set of data with three ASs.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Aaron:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">FHIR has single and bulk resource types. Are they in the FHIR specs?</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Sarah:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Just do a text search for “user” and “patient”</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Justin:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Actually, they are in the SMART on FHIR, not the vanilla FHIR specs.</span><u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">Adrian:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif"">SMART is trying to work out the EHR to EHR use cases. We can help as we make progress on that.</span><u></u><u></u></p></div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif""><br clear="all"></span><u></u><u></u></p></div><div><div><div><div><div><p class="MsoNormal"><span style="color:#888888">Sarah Squire</span><u></u><u></u></p></div></div><div><div><p class="MsoNormal"><span style="color:#888888">Engage Identity</span><u></u><u></u></p></div></div><div><div><p class="MsoNormal"><span style="color:#888888"><a href="http://engageidentity.com/" target="_blank"><span style="color:#1155cc">http://engageidentity.com</span></a></span><u></u><u></u></p></div></div></div></div></div></div></div><div class="MsoNormal" style="text-align:center" align="center"><hr style="color:#a0a0a0" align="center" noshade size="1" width="100%"></div><p class="MsoNormal">No virus found in this message.<br>Checked by AVG - <a href="http://www.avg.com/" target="_blank">www.avg.com</a><br>Version: 2016.0.7294 / Virus Database: 4489/11199 - Release Date: 12/17/15<u></u><u></u></p></div></div></div></div><p class="MsoNormal"><Seib's grasp of the discussion so today.docx>_______________________________________________<br>Openid-specs-heart mailing list<br><a href="mailto:Openid-specs-heart@lists.openid.net" target="_blank">Openid-specs-heart@lists.openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><u></u><u></u></p></div></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>_______________________________________________<br>Openid-specs-heart mailing list<br><a href="mailto:Openid-specs-heart@lists.openid.net" target="_blank">Openid-specs-heart@lists.openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><u></u><u></u></p></div><p class="MsoNormal"><br><br clear="all"><br>-- <u></u><u></u></p><div><div><div><div><div><div><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">Adrian Gropper MD<br><br><span style="font-family:"Arial","sans-serif";color:#1f497d">PROTECT YOUR FUTURE - RESTORE Health Privacy!<br>HELP us fight for the right to control personal health data.<br>DONATE: <a href="http://patientprivacyrights.org/donate-2/" target="_blank"><span style="color:#0563c1">http://patientprivacyrights.org/donate-2/</span></a></span> <u></u><u></u></p></div></div></div></div></div></div></div></div></div><div class="MsoNormal" style="text-align:center" align="center"><hr style="color:#a0a0a0" align="center" noshade size="1" width="100%"></div><p class="MsoNormal">No virus found in this message.<br>Checked by AVG - <a href="http://www.avg.com" target="_blank">www.avg.com</a><br>Version: 2016.0.7294 / Virus Database: 4489/11199 - Release Date: 12/17/15<u></u><u></u></p></div></div></div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br><div dir="ltr">Adrian Gropper MD<span style="font-size:11pt"></span><br><br><span style="font-family:"Arial",sans-serif;color:#1f497d">PROTECT YOUR FUTURE - RESTORE Health Privacy!</span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>HELP us fight for the right to control personal health data.</span><span style="font-family:"Arial",sans-serif;color:#1f497d"></span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>DONATE:
<a href="http://patientprivacyrights.org/donate-2/" target="_blank"><span style="color:#0563c1">http://patientprivacyrights.org/donate-2/</span></a></span><span style="color:#1f497d"></span>
</div></div></div></div></div></div></div></div>
</div>