<div dir="ltr"><div><div>Here are some of the dimensions that my Authorization Server would consider when a Client comes asking for authorization:<br><br></div>For a specified Resource, will the Client:<br><ol><li>Preserve and propagate the <a href="http://hl7-fhir.github.io/v3/ConfidentialityClassification/vs.html">Confidentiality Classification</a> on data it receives?<br></li><li>Disclose the actual name of the individual Requesting Party?</li><li>Ever share de-identifiied personal-level data?</li><li>Send me a notification every time the data is accessed, even if de-identified??</li><li>Provide a standardized <a href="http://hl7.org/fhir/v3/PurposeOfUse/index.html">Purpose of Use</a> statement for each access?</li><li>Provide a standardized Privacy Policy (like we have standardized Creative Commons licenses)?</li><li>Register its Privacy Policy with an independent registrar - which ones?</li><li>Offer standards-based and unblocked access to the data they hold about me (like the Precision Medicine Initiative)?<br></li><li>Accept my specification of a notification endpoint?</li><li>Accept my specification of an authorization server?</li><li>Support data minimization at the full resolution of the FHIR resource types?</li><li>Support fine-grained, real-time notification of changes, additions, aggregations to my personal data?</li><li>Respect my request to delete my data at any time?</li><li>Provide me with a standards-based Accounting of Disclosures on demand?</li><li>Accept my standards-based federated identity for single-sign-on to their system?</li><li>Accept my standards-based digital signature in all interactions with me?<br></li><li>Assert that the client is an FDA Class II or III medical device? <br></li><li>Assert that the client is subject to the EU GDPR or some other data protection domain?<br></li><li>Assert that the requesting party holds a valid medical license and in what state?<br></li><li>Seek read, write, or RW to the resource?<br></li></ol>How many of these 20 dimensions does HEART want to bundle into the 5 or so choices that we envision would make for a patient-friendly experience?<br><br></div>If you think I'm asking too much, please tell us which of these policy expectations are either less important or could be subordinated to a registry of some sort and how would HEART relate to those registries.<br><div><div><div><br>Adrian<br><br></div><div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br><div dir="ltr">Adrian Gropper MD<span style="font-size:11pt"></span><br><br><span style="font-family:"Arial",sans-serif;color:#1f497d">PROTECT YOUR FUTURE - RESTORE Health Privacy!</span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>HELP us fight for the right to control personal health data.</span><span style="font-family:"Arial",sans-serif;color:#1f497d"></span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>DONATE:
<a href="http://patientprivacyrights.org/donate-2/" target="_blank"><span style="color:#0563c1">http://patientprivacyrights.org/donate-2/</span></a></span><span style="color:#1f497d"></span>
</div></div></div></div></div></div></div></div>
</div></div></div></div>