Isso é feito, essencialmente, criando, no bd, um campo de status dos usuários que têm login e senha. No seu caso, haverá 3 status, como vc já descreveu.
Isso vincula diretamente cada usuário/operador do sistema a um status específico.
Com isso definido, à medida que você vai desenvolvendo o sistema, vc vai permitindo, ou não, acesso do usuário/operador a partes / setores específicos do sistema.
(Idealmente, qual status terá acesso a quais partes do sistema teria que ser planejado antes de começar a construir o sistema. Na prática, porém, a teoria costuma ser outra :-).)

Nunca criei nenhum sistema em PHP. Apenas estudei a materia.
Então nao sei se é viavel, mas...
Minha sugestão seria você acrescentar mais uma coluna na tabela do login com o nome que você desejar, por exemplo: niveis.
Então você diz, por exemplo, que para secretaria o nivel é 1, medico 2 e admin 3.
No inicio de cada pagina restrita você cria uma variavel chamada $nivelacesso que você atribui o valor para aquela pagina.
Ai você faz um comparativo.
Se o usuario que estiver logando a variavel $nivel < $nivelacesso. Ok. Ele acessa. Senão da um die() e redireciona e ele nao acessa.
Se der certo, avisa aê !!!