+1 Nancy.<div><br></div><div>It's not necessarily HEART's job to define or standardize any particular subset of FHIR resources. Although it could help the user experience, subsetting is going to be highly subjective, context, and jurisdiction-specific. It's also a lagging project that will always be obsolete as various standards, especially FHIR, evolve to define other resources.</div><div><br></div><div>The SPM What I want from HEART in no way suggests that patients expect control over any particular subset of what's available. Also, as Privacy on FHIR began to show, the utility of HEART will be much, much broader than clipboard.</div><div><br></div><div>Therefore, I suggest that we treat subsetting of the FHIR standard as a "value added" option by every resource server. This would allow service providers to compete on the quality of user experience in privacy just like they compete for user experience in many other ways.</div><div><br></div><div>HEART should make it easy for every resource server to define subsets of resources without constraint as long as they publish their particular sets for OAuth clients and requesting parties to discover prior to approaching a particular authorization server for authorization. If a resource server does not publish any particular subsets, then clients can only use FHIR itself to request scope of access. </div><div><br></div><div>Adrian</div><div><br></div><div><br>On Tuesday, July 19, 2016, Nancy Lush <<a href="javascript:_e(%7B%7D,'cvml','nlush@lgisoftware.com');" target="_blank">nlush@lgisoftware.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d">I was only peripherally aware of virtual clipboard prior to yesterday’s meeting.  >From my reading last night virtual clipboard seems to focus on a subset of resources.  I would hope that HEART would be supporting at least the FHIR resource sets that have been implemented and already in production for some servers.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d">I thought the next step was to expand the use cases, incorporating our thoughts on consent using the confidentiality codes.  I suspect issues will arise from that exercise without complicating it in advance.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d">-Nancy<u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Openid-specs-heart [mailto:<a>openid-specs-heart-bounces@lists.openid.net</a>] <b>On Behalf Of </b>Debbie Bucci<br><b>Sent:</b> Tuesday, July 19, 2016 7:11 AM<br><b>To:</b> Sarah Squire <<a>sarah@engageidentity.com</a>><br><b>Cc:</b> <a>openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> Re: [Openid-specs-heart] Dissecting the Release of information form<u></u><u></u></span></p><p class="MsoNormal"><u></u> <u></u></p><p>Well... when thinking about the virtual clipboard vs real world .. I am usually presented with at least 3 or 4 documents ... the laundry list info insurance meds allergies etc. Consent for treatment, Privacy Notice and if referred with no info in hand the release of information.<u></u><u></u></p><p>Seems to me that rpt is essentially an authorization for release. <u></u><u></u></p><p>Adrian asked that we consider roi as part of the discussion....I think he may be right.<u></u><u></u></p><p>Eves doc was broad and I thought the next step was to drill down to soecifics.  If we have agreed a virtual clipboard resource set makes sense that needs to be added.  <u></u><u></u></p><p>Specifically from the ROI - John Moerke mentioned date range of treatment - that's one and this form opts in  sensitive info.... so I think ... the CFR 42 part 2 stuff ( +genomics) may need a specific scope for authorization to release.<u></u><u></u></p><p>Auditing needs to peripherally be considered as well imo<u></u><u></u></p><div><p class="MsoNormal">On Jul 19, 2016 6:56 AM, "Sarah Squire" <<a>sarah@engageidentity.com</a>> wrote:<u></u><u></u></p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><p class="MsoNormal">Hi all,<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">This is the use case that Eve has been hashing out on the call for a few weeks now: <a href="https://bitbucket.org/openid/heart/wiki/Alice_Shares_with_Physicians_and_Others_UMA_FHIR" target="_blank">https://bitbucket.org/openid/heart/wiki/Alice_Shares_with_Physicians_and_Others_UMA_FHIR</a><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Is there anything specifically added by the NYP form that has not already been covered?<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Sarah<u></u><u></u></p></div></div><div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><div><div><div><p class="MsoNormal"><span style="color:#888888">Sarah Squire<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="color:#888888">Engage Identity<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="color:#888888"><a href="http://engageidentity.com/" target="_blank"><span style="color:#1155cc">http://engageidentity.com</span></a><u></u><u></u></span></p></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Tue, Jul 19, 2016 at 5:43 AM, Adrian Gropper <<a>agropper@healthurl.com</a>> wrote:<u></u><u></u></p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="MsoNormal" style="margin-bottom:12.0pt">Debbie,<u></u><u></u></p></div><div><p class="MsoNormal">In case it's not on the HEART servers, I've put a copy of the NYP Authorization Form here: <a href="https://dl.dropboxusercontent.com/u/8909568/NYP%20authorization.pdf" target="_blank">https://dl.dropboxusercontent.com/u/8909568/NYP%20authorization.pdf</a><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal">Mapping the NYP Authorization Form to actual UMA protocol is way above my pay grade. Here's as far as I get (inline):<u></u><u></u></p><div><p class="MsoNormal"><br>In the case of Alice authorizing  Dr. Bob:<u></u><u></u></p><div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><ul type="disc"><li class="MsoNormal">Alice is the Resource Owner <b>[Yes. Notice that we have to handle the case where Alice has a Representative sign for her as at the bottom of the form]</b><u></u><u></u></li></ul></div></blockquote><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><ul type="disc"><li class="MsoNormal">The requested resource set  - is the protected resource. <b>[Someone else needs to propose the mapping to standards]</b> <u></u><u></u></li></ul><ul type="disc"><ul type="circle"><li class="MsoNormal">The resource set would need to have date range. <u></u><u></u></li><li class="MsoNormal">Form indicates that release of sensitive information is explicitly OPT-IN so a confidentiality code of V (very sensitive) would not release HIV-AIDS/Mental Health/Genetics/Substance Abuse unless explicitly asked for (as a scope?).<u></u><u></u></li></ul></ul><ul type="disc"><li class="MsoNormal">Can the Authorization server sign the RPT(ROI) on behalf of Alice?<b> [Yes. That's the whole point of UMA and HEART as far as I can tell.]</b><u></u><u></u></li><li class="MsoNormal">Probably good hygiene to recommend that claims re: Bob's medical affiliation be recorded as part of the audit or consent receipt if unable to include as part of RPT process. <b>[Maybe but it seems peripheral.]</b><u></u><u></u></li></ul></div></blockquote><div><p class="MsoNormal" style="margin-bottom:12.0pt">It's important to note that this form is labeled by NYP as an "authorization" and represents UMA Phase 2 where Dr. Bob is on the scene. Whoever proposes a mapping to standards needs to also deal with UMA Phase 1 where Alice or her representative tells NYP the address of her UMA Authorization Server. This happens before Bob is on the scene and is what I would call "consent".<u></u><u></u></p></div><div><p class="MsoNormal">For the purpose of HEART, could we call UMA Phase 1 consent and UMA Phase 2 authorization?<u></u><u></u></p></div><div><p class="MsoNormal"><span style="color:#888888"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="color:#888888">Adrian <u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>_______________________________________________<br>Openid-specs-heart mailing list<br><a>Openid-specs-heart@lists.openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><u></u><u></u></p></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></blockquote></div></div></div></blockquote></div>