<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p>Hi All, one comment on the current draft of the HEART Profile for OIDC 1.0:</p>
<p>- Section 2.2 - Paragraph 1 states request object may be signed -or- encrypted, but paragraph 2 states request object MUST be signed. I believe that taking both together, the current text requires that all request objects MUST be signed and MAY be encrypted, but the first paragraph could be read to suggest encryption alone is okay.</p>
<p>No issues with the other draft changes.</p>
<p>Luis</p>
<p>Luis C. Maas III, M.D., Ph.D.</p>
<div>
<p><span style="font-family: verdana, geneva, sans-serif;">CTO<br />EMR Direct<br />www.emrdirect.com<br /><br /></span></p>
</div>
</body></html>