Visto l'ambito sanitario della piattaforma, sicuramente hai necessità di consulenza legale privacy gdpr ancor prima di iniziare la fase di sviluppo software. (Leggasi privacy by design & default e poi devi capire come metterti nella posizione corretta e meno rischiosa).
Per la tipologia di dati trattati (i dati sanitari sono considerati ad alto rischio), si procede prima a una fase di analisi legale / privacy che stabilisce quali misure di sicurezza tecniche e organizzative adottare, la verifica delle normative che entrano in gioco, ecc.
Venendo ai punti specifici :
1) i server in Ue sicuramente, atto di nomina (scritto bene, meglio dal legale) a responsabile esterno per il trattamento di dati personali da far firmare al provider (e qui vengono le difficoltà visto che buona parte ti rimbalzano per non firmarlo), verifica delle caratteristiche e garanzie della web farm
2) dipende molto dal tuo ruolo, dietro al termine "manutentore" si potrebbero celare altri ruoli. Metti mano all'infrastruttura? es accesso al server per manutenzione? accesso al database per manutenzione? Sei tu che gestirai l'infrastruttura cloud del cliente?
Noi forniamo consulenza privacy a prezzi ragionevoli e soprattutto professionale:
https://www.iprogrammatori.it/consulenza/consulenza-privacy-gdpr.aspx
eventualmente contattaci all'indirizzo preposto.