... hum .... non soltanto rispondi degli aspetti tecnici, come diceva i2m4y, essendo di fatto il suo consulente per tutto e quindi anche la sicurezza.
A meno che il medico non abbia un consulente per la sicurezza che definisca cosa fare (server configurato cosi', procedura cosa' etc)
Altro problema riguarda il server: hosting o dedicato? di chi e': tuo o del medico? Se il server e' tuo, diventi un outsourcer del trattamento di dati sensibili (sanitari) com una montagna di adempimenti aggiuntivi per te e per il medico.
Attenzione: molti provider ti impediscono (per loro e' un bel grattacapo) di caricare dati sensibili sui domini in hosting. [diverso caso se hai un server dedicato ... li son tutti c...i tuoi].
Attenzione: dati sanitari = crittografia sempre (https + memorizzazione in file crittografati etc etc)
In bocca al lupo