
<div dir="ltr">I agree with Adrian as well. Medical Devices tend to be given excuse out of security, when they should not. When security and Privacy are designed into the product, they fold in seamlessly.  I add my dozen years of experience with medical device to Adrian in support of being inclusive. <div><br></div><div>The only exception, which can be addressed in designed, is robustness in the face of degraded infrastructure. Think about a mega natural disaster that takes out  major infrastructure in a region (e.g. Katrina). Medical devices sometimes include in their scope the claim to continue to provide their medical device claimed benefit even when the network (e.g.,  AS) are missing. Such as a bedside lifesign monitor, or ventilator breathing for the patient.  It is possible for non-medical device to do this as well, but is less likely that a non-medical device would determine that the functionality it brings is more important than security.  This trade-off is (should be) careful risk management. This kind of trade-off should only be seen as acceptable when the functionality is life-sustaining or life-critical. Yes, it applies to many things used in the Emergency Room, but is not a normal Emergency Room situation as that is... normal for an emergency room... This is a small fragment of the market. Too often this kind of use-case is used as excuse for poor design. </div><div><br></div><div>John</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">John Moehrke<br>Principal Engineering Architect: Standards - Interoperability, Privacy, and Security<br>CyberPrivacy – Enabling authorized communications while respecting Privacy<br>M +1 920-564-2067<br><a href="mailto:JohnMoehrke@gmail.com" target="_blank">JohnMoehrke@gmail.com</a><br><a href="https://www.linkedin.com/in/johnmoehrke" target="_blank">https://www.linkedin.com/in/johnmoehrke</a><br><a href="https://healthcaresecprivacy.blogspot.com" target="_blank">https://healthcaresecprivacy.blogspot.com</a><br>"Quis custodiet ipsos custodes?" ("Who watches the watchers?")</div></div></div>

<br><div class="gmail_quote">On Fri, Jan 20, 2017 at 3:04 PM, Adrian Gropper <span dir="ltr"><<a href="mailto:agropper@healthurl.com" target="_blank">agropper@healthurl.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks Glen and Aaron for bringing this up, but I think it will make no difference to HEART. (I have a lot of experience developing numerous FDA-regulated medical devices as well as unregulated health records.) Implants, wearables, home monitors will all need security regardless of whether they are regulated by FTC or FDA or prescribed by a physician. Off-hand, I can't think of a single instance where the regulatory environment will impact HEART access authorization (resource architecture, scope design, best practices).<div><br></div><div>The one obvious place where regulatory issues come in is auditing. Some applications have stringent data retention requirements, possibly including non-repudiable signatures. There could also be mandatory reporting to state agencies. It's nice to keep this in mind as we do HEART because if we fail to support this kind of capability then the APIs we attach to will need separate access authorization systems for regulated cases.</div><div><br></div><div>Simply put, I hope that HEART will presume it's being used in a regulated environment so that the same API is available for patient-directed exchange regardless of whether the resource server or the client is being used by a physician, a family caregiver, or a machine.</div><div><br></div><div>Adrian</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Fri, Jan 20, 2017 at 2:38 PM, Aaron Seib <span dir="ltr"><<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">

<div bgcolor="white" lang="EN-US" link="#330099" vlink="#999999"><div class="m_6526325375358910141m_-4743594432167081135WordSection1"><span><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I think 21<sup>st</sup> Century Cures established one line to consider with regards to what is in scope for the FDA to regulate.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">TITLE III—DEVELOPMENT <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Sec. 3060. Clarifying Medical Software Regulation (pg. 257-264)  <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">        </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">The term ‘device’ shall be excluded from regulation by the FDA if the software function of the device is intended for: <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.0in"><u></u><span style="font-size:11.0pt;font-family:"Courier New";color:#1f497d"><span>o<span style="font:7.0pt "Times New Roman"">   </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Such purposes as administrative support of a health care facility, including the processing and maintenance of financial records, claims or billing information, appointment schedules, business analytics, population health management, and laboratory workflow, among others; <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.0in"><u></u><span style="font-size:11.0pt;font-family:"Courier New";color:#1f497d"><span>o<span style="font:7.0pt "Times New Roman"">   </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Maintaining or encouraging a healthy lifestyle, unrelated to diagnosis, cure, mitigation, prevention, or treatment of a disease or condition. <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.0in"><u></u><span style="font-size:11.0pt;font-family:"Courier New";color:#1f497d"><span>o<span style="font:7.0pt "Times New Roman"">   </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Electronic patient records, including patient-provided information, to the extent that such records are intended to transfer, store, convert formats, or display the equivalent of a paper medical chart, as long as: <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.5in"><u></u><span style="font-size:11.0pt;font-family:Wingdings;color:#1f497d"><span>§<span style="font:7.0pt "Times New Roman"">  </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">The records were created, stored, transferred, or reviewed by health care professionals, or by individuals working under supervision of such professionals <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.5in"><u></u><span style="font-size:11.0pt;font-family:Wingdings;color:#1f497d"><span>§<span style="font:7.0pt "Times New Roman"">  </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Such records are certified under section 3001(c)(5) of the Public Health Service Act</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p></span><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.5in"><u></u><span style="font-size:11.0pt;font-family:Wingdings;color:#1f497d"><span>§<span style="font:7.0pt "Times New Roman"">  </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">It doesn’t include software intended to interpret or analyze patient records, including medical image data <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.0in"><u></u><span style="font-size:11.0pt;font-family:"Courier New";color:#1f497d"><span>o<span style="font:7.0pt "Times New Roman"">   </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Transferring, storing, converting formats, or displaying clinical laboratory tests or other device data results; findings by a health care professional with respect to such data and results, general information about such findings, and general background information about such laboratory test or other device, unless such function is intended to interpret or analyze clinical laboratory test or other device data, results, and findings; <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.0in"><u></u><span style="font-size:11.0pt;font-family:"Courier New";color:#1f497d"><span>o<span style="font:7.0pt "Times New Roman"">   </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(Unless) the Software function is intended to acquire, process, or analyze medical images or a signal from an in vitro diagnostic device or a pattern or signal from a signal acquisition system for the purpose of: <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.5in"><u></u><span style="font-size:11.0pt;font-family:Wingdings;color:#1f497d"><span>§<span style="font:7.0pt "Times New Roman"">  </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Displaying, analyzing, or printing medical information about a patient or other medical information <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.5in"><u></u><span style="font-size:11.0pt;font-family:Wingdings;color:#1f497d"><span>§<span style="font:7.0pt "Times New Roman"">  </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Supporting or providing recommendations to a health care professional about prevention, diagnosis, or treatment of a disease or condition. <u></u><u></u></span></p><p class="m_6526325375358910141m_-4743594432167081135MsoListParagraph" style="margin-left:1.5in"><u></u><span style="font-size:11.0pt;font-family:Wingdings;color:#1f497d"><span>§<span style="font:7.0pt "Times New Roman"">  </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Enabling health care professionals to independently review the basis for such recommendations that software presents so that it is not the intent that health care professional rely primarily on any of such recommendations to make a clinical diagnosis or treatment decision regarding an individual patient.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">You probably want to look at the section in its entirety for more details.<u></u><u></u></span></p><span><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Is there any useful criteria for your purposes that you can derive from this?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron Seib, CEO<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">@CaptBlueButton <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> (o) <a href="tel:(301)%20540-2311" value="+13015402311" target="_blank">301-540-2311</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(m) <a href="tel:(301)%20326-6843" value="+13013266843" target="_blank">301-326-6843</a><u></u><u></u></span></p><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d;text-decoration:none"><img border="0" width="205" height="48" id="m_6526325375358910141m_-4743594432167081135Picture_x0020_1" src="cid:image001.jpg@01D2732A.DA3039E0"></span></a><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p></div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext"> Openid-specs-heart [<a href="mailto:openid-specs-heart-bounces@lists.openid.net" target="_blank">mailto:openid-specs-heart-bou<wbr>nces@lists.openid.net</a>] <b>On Behalf Of </b>Glen Marshall [SRS]<br><b>Sent:</b> Friday, January 20, 2017 2:10 PM<br><b>To:</b> HEART List<br><b>Subject:</b> [Openid-specs-heart] What is Health Data?<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p></span><p class="MsoNormal">In our discussion this past week we did not drill-down on use cases about sharing data from personal health data collection devices, e.g., Fitbit or environmental activity monitors, or medically prescribed devices, e.g., Holter monitors.  In the case of medically prescribed monitors, the data they collect is clearly health data.  On the other hand, data on personal wearable devices only becomes medical data when it is shared for that purpose.  Activity monitors are in-between, as they can be used in an non-medical assisted living setting or in medical long term care.<u></u><u></u></p><div><div class="m_6526325375358910141h5"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Where do we set the boundary between health data and other data?  What do we do when that boundary shifts, as it has for wearable devices over the last couple of decades?  What is the mechanism for granting permission for medical use when such devices lack a UX?  Are there existing policies for this, i.e., is it in scope for HEART, or should we make recommendations for policy development?<u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Helvetica","sans-serif""><u></u> <u></u></span></p><div class="MsoNormal" align="center" style="text-align:center"><span style="font-size:11.0pt;font-family:"Helvetica","sans-serif""><hr size="2" width="100%" noshade style="color:black" align="center"></span></div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Helvetica","sans-serif"">Glen F. Marshall<br>Consultant<br>Security Risk Solutions, Inc.<br>698 Fishermans Bend<br>Mount Pleasant, SC 29464<br>Tel: <a href="tel:(610)%20644-2452" value="+16106442452" target="_blank">(610) 644-2452</a><br>Mobile: <a href="tel:(610)%20613-3084" value="+16106133084" target="_blank">(610) 613-3084</a><br><a href="mailto:gfm@securityrs.com" target="_blank">gfm@securityrs.com</a><br><a href="http://www.SecurityRiskSolutions.com" target="_blank">www.SecurityRiskSolutions.com</a><u></u><u></u></span></p><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div><br></div></div>______________________________<wbr>_________________<br>

Openid-specs-heart mailing list<br>

<a href="mailto:Openid-specs-heart@lists.openid.net" target="_blank">Openid-specs-heart@lists.openi<wbr>d.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" rel="noreferrer" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-heart</a><br>

<br></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div class="m_6526325375358910141gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br><div dir="ltr">Adrian Gropper MD<span style="font-size:11pt"></span><br><br><span style="font-family:"Arial",sans-serif;color:#1f497d">PROTECT YOUR FUTURE - RESTORE Health Privacy!</span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>HELP us fight for the right to control personal health data.</span><span style="font-family:"Arial",sans-serif;color:#1f497d"></span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>DONATE:

<a href="http://patientprivacyrights.org/donate-2/" target="_blank"><span style="color:#0563c1">http://patientprivacyrights.<wbr>org/donate-2/</span></a></span><span style="color:#1f497d"></span>

</div></div></div></div></div></div></div></div>

</font></span></div>

<br>______________________________<wbr>_________________<br>

Openid-specs-heart mailing list<br>

<a href="mailto:Openid-specs-heart@lists.openid.net">Openid-specs-heart@lists.<wbr>openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" rel="noreferrer" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>heart</a><br>

<br></blockquote></div><br></div>