Suas opções de hospedagem na AWS não implicam necessariamente muito mais risco. Por um lado, a AWS protege seu hardware e suas informações muito bem se você seguir todas as melhores práticas. Se você usar um gateway de VPN para vincular a VPC à rede do hospital e remover todas as outras conexões de Internet da VPC, ela poderá ficar tão isolada quanto a rede do hospital à qual está conectada.
Você também pode hospedar em uma instalação de co-localização não hospitalar, mas para ser franco, para um servidor com muito mais trabalho. Provavelmente não será uma escolha positiva do ponto de vista financeiro.
No que se refere ao código-fonte, você pode considerar um contrato de licença que proíba a transferência / reutilização do software em outro lugar. Não há segurança perfeita em qualquer extensão, mas muitas pessoas que fazem software ganham dinheiro com contratos de licença de tempo limitado que oferecem serviços e atualizações adicionais.