<div dir="ltr"><div><div><div><div><div>Debbie, I think we might agree. Please keep in mind that I'm not describing scopes - just resources.<br><br></div>a) I call ...patient/abc123/ or anything with ?patient=abc123 as a patient-lever resource. I think we are saying the same thing<br><br></div>b) I did not say "ensure", I said "allow". I think we're saying the same thing.<br><br></div>c) What's the difference between Any and A? I'm happy to accept your alternative.<br><br></div>The rest of your message is about scopes. If we have a consensus on a, b, c then we can tart to talk about scopes. Immunization might be a perfectly good place to start.<br><br></div>Adrian<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 3, 2016 at 4:51 PM, Debbie Bucci <span dir="ltr"><<a href="mailto:debbucci@gmail.com" target="_blank">debbucci@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Don't agree Adrian</div><div><br></div><div><span class=""><div style="margin-left:30pt"><p class="MsoNormal" style="margin-bottom:12pt">a) ALL patient-level resources available as FHIR resources MUST also be provided for registration with a HEART resource server even if the RS decides to bypass the AS or override the AS authorization.<br></p></div></span><div style="margin-left:30pt"><blockquote style="margin-right:0px" dir="ltr"><p class="MsoNormal" style="margin-bottom:12pt">wouldn't - patient/*.read technically give you all patient resources available by the FHIR server?</p></blockquote></div><span class=""><div style="margin-left:30pt"><p class="MsoNormal" style="margin-bottom:12pt"><br>b) HEART MUST support data minimization in cases where ALL patient-level FHIR resources are registered with an AS. <br></p></div></span><div style="margin-left:30pt"><blockquote style="margin-right:0px" dir="ltr"><p class="MsoNormal" style="margin-bottom:12pt">It's not HEART's responsibility to ensure data minimization as part of the profile-  that sentiment could be covered by the  pre-conditions stating that RS should; leverage the good work of the privacy principles standards.</p></blockquote></div><span class=""><div style="margin-left:30pt"><p class="MsoNormal" style="margin-bottom:12pt"><br>c) Any resource server MAY choose to register sets of resources in order to improve the user experience at the AS. These resources may or may not all be specified by FHIR. These bundling and definition of these resource sets may be done by HEART or by standards organizations like the HL7 DAF.</p></div></span></div><blockquote style="margin-right:0px" dir="ltr"><blockquote style="margin-right:0px" dir="ltr"><div>Perhaps agree with -- slight revision - A resource server MAY choose to register sets of resources in order to improve the user experience at the AS.   (perhaps include example(s) her</div></blockquote></blockquote><div><br></div><div><br></div><div>Looking at the Immunization resource, it references location, organization, patient, practitioner and observation.   </div><div>If you authorize only </div><div><span><br></span></div><span><div><div style="margin:0in 0in 10pt"><font face="Calibri" color="#000000" size="3">patient / Immunization .read</font></div><div style="margin:0in 0in 10pt"><font face="Calibri" color="#000000" size="3">on a GET  /Immunizations?patient=abc123    If I understand correctly ... you get there reference to the resource If you want more than the reference of the resource  - such as patient demographic information, would we need to include the referenced resources scopes?</font></div><div style="margin:0in 0in 10pt"><font face="Calibri" color="#000000" size="3">patient / Patient .read</font></div><div style="margin:0in 0in 10pt"><font face="Calibri" color="#000000" size="3">patient / Practitioner .read</font></div><div style="margin:0in 0in 10pt"><font face="Calibri" color="#000000" size="3">patient /organization.read</font></div><div style="margin:0in 0in 10pt"><font face="Calibri" color="#000000" size="3">patient / observation .read</font></div><div style="margin:0in 0in 10pt"><font face="Calibri"><font color="#000000" size="3">Are their conditional statements we can add to ensure additional info is only on an _include or separate GETS/queries are related to the immunization only?</font></font></div><font face="Calibri" color="#000000" size="3"><div style="margin:0in 0in 10pt"><br></div></font><div style="margin:0in 0in 10pt"><font face="Calibri"></font></div><div style="margin:0in 0in 10pt"><font color="#000000" size="3"><br></font></div></div></span><div><br></div><div><font face="Calibri" color="#000000" size="3"><br></font></div><div><br></div><div class="gmail_extra"><div class="gmail_quote"><span><div vlink="purple" link="blue" lang="EN-US"><br></div></span><div vlink="purple" link="blue" lang="EN-US"><br></div></div><br></div></div>
</blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br><div dir="ltr">Adrian Gropper MD<span style="font-size:11pt"></span><br><br><span style="font-family:"Arial",sans-serif;color:#1f497d">PROTECT YOUR FUTURE - RESTORE Health Privacy!</span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>HELP us fight for the right to control personal health data.</span><span style="font-family:"Arial",sans-serif;color:#1f497d"></span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>DONATE:
<a href="http://patientprivacyrights.org/donate-2/" target="_blank"><span style="color:#0563c1">http://patientprivacyrights.org/donate-2/</span></a></span><span style="color:#1f497d"></span>
</div></div></div></div></div></div></div></div>
</div>