kirile

Вместо построения своими силами сертифицированного VPN и проведения соответствующих организационных мероприятий можно заказать аналогичную услугу у провайдера.
Например, у Ростелекома в Нижнем Новгороде такой сервис на скорости 1 Мбит/с стоит 2000 рублей в месяц. Решение построено на ГОСТовом VPN на сертифицированном ФСБ оборудовании.
1 Мбит/с - это мало, когда качаешь фильм, но этого достаточно для передачи документов и сканов. Есть варианты по скорости больше, спрашивайте провайдеров.
Таким образом, вам не нужно вести документацию по работе с СКЗИ, не нужно отслеживать продление сертификации и прочие вытекающие из грамотного использования СКЗИ.
Рекомендую.

Тут вопрос, как понимаю, не только в 152-ом. Тут ещё вероятна врачебная тайна, в этой специфике я не разбираюсь.
Вы предлагаете вариант однозначно лучше и правильнее, однако, с точки зрения ФЗ он всё равно не будет соответствовать, ибо не ИС аттестована.
В общем и целом надо так:
1. Выбираете аттестованное решение для поднятия VPN
2. Документируете, описываете
...а далее вопрос уже к ответственному. Согласно что 152ФЗ, что Приказу ФСБ, что Инструкциям ФСТЭК у вас должен быть назначен человек, ответственный за персональные данные. Если что огребать ему и это не шутки.