<div dir="ltr"><div>Don't agree Adrian</div><div><br></div><div><div style="margin-left:30pt"><p class="MsoNormal" style="margin-bottom:12pt">a) ALL patient-level resources available as FHIR resources MUST also be provided for registration with a HEART resource server even if the RS decides to bypass the AS or override the AS authorization.<br></p></div><div style="margin-left:30pt"><blockquote style="margin-right:0px" dir="ltr"><p class="MsoNormal" style="margin-bottom:12pt">wouldn't - patient/*.read technically give you all patient resources available by the FHIR server?</p></blockquote></div><div style="margin-left:30pt"><p class="MsoNormal" style="margin-bottom:12pt"><br>b) HEART MUST support data minimization in cases where ALL patient-level FHIR resources are registered with an AS. <br></p></div><div style="margin-left:30pt"><blockquote style="margin-right:0px" dir="ltr"><p class="MsoNormal" style="margin-bottom:12pt">It's not HEART's responsibility to ensure data minimization as part of the profile-  that sentiment could be covered by the  pre-conditions stating that RS should; leverage the good work of the privacy principles standards.</p></blockquote></div><div style="margin-left:30pt"><p class="MsoNormal" style="margin-bottom:12pt"><br>c) Any resource server MAY choose to register sets of resources in order to improve the user experience at the AS. These resources may or may not all be specified by FHIR. These bundling and definition of these resource sets may be done by HEART or by standards organizations like the HL7 DAF.</p></div></div><blockquote style="margin-right:0px" dir="ltr"><blockquote style="margin-right:0px" dir="ltr"><div>Perhaps agree with -- slight revision - A resource server MAY choose to register sets of resources in order to improve the user experience at the AS.   (perhaps include example(s) her</div></blockquote></blockquote><div><br></div><div><br></div><div>Looking at the Immunization resource, it references location, organization, patient, practitioner and observation.   </div><div>If you authorize only </div><div><span><br></span></div><span><div><div style="margin:0in 0in 10pt"><font color="#000000" face="Calibri" size="3">patient / Immunization .read</font></div><div style="margin:0in 0in 10pt"><font color="#000000" face="Calibri" size="3">on a GET  /Immunizations?patient=abc123    If I understand correctly ... you get there reference to the resource If you want more than the reference of the resource  - such as patient demographic information, would we need to include the referenced resources scopes?</font></div><div style="margin:0in 0in 10pt"><font color="#000000" face="Calibri" size="3">patient / Patient .read</font></div><div style="margin:0in 0in 10pt"><font color="#000000" face="Calibri" size="3">patient / Practitioner .read</font></div><div style="margin:0in 0in 10pt"><font color="#000000" face="Calibri" size="3">patient /organization.read</font></div><div style="margin:0in 0in 10pt"><font color="#000000" face="Calibri" size="3">patient / observation .read</font></div><div style="margin:0in 0in 10pt"><font face="Calibri"><font color="#000000" size="3">Are their conditional statements we can add to ensure additional info is only on an _include or separate GETS/queries are related to the immunization only?</font></font></div><font color="#000000" face="Calibri" size="3"><div style="margin:0in 0in 10pt"><br></div></font><div style="margin:0in 0in 10pt"><font face="Calibri"></font></div><div style="margin:0in 0in 10pt"><font color="#000000" size="3"><br></font></div></div></span><div><br></div><div><font color="#000000" face="Calibri" size="3"><br></font></div><div><br></div><div class="gmail_extra"><div class="gmail_quote"><span><div lang="EN-US" vlink="purple" link="blue"><br></div></span><div lang="EN-US" vlink="purple" link="blue"><br></div></div><br></div></div>