Alle Dokumenteninhalte der ePA sind so verschlüsselt, dass niemand außer den Patientinnen und Patienten und denen, die von ihnen dazu berechtigt wurden, die Inhalte lesen können. Die Daten sind auf sicheren Servern in Deutschland gespeichert. Sie werden nach höchsten Standards und den europäischen Datenschutzbestimmungen verwahrt und sind verschlüsselt. Auch die Kommunikation zwischen den Komponenten der ePA ist Ende-zu-Ende-verschlüsselt. Das bedeutet, dass die Verschlüsselung auch beim Datentransfer nicht geöffnet wird. Niemand außer der oder dem Versicherten oder seiner Vertreterin bzw. seinem Vertreter und denjenigen, die aufgrund der jeweiligen medizinischen Behandlung eine Berechtigung besitzen, können die Inhalte lesen. Übrigens darf auch die Krankenkasse nicht auf die Inhalte zugreifen.
Auch bei der Bereitstellung von Daten zu Forschungszwecken ist der Datenschutz gewährleistet: Die Daten gehen in pseudonymisierter Form an das Forschungsdatenzentrum Gesundheit. Also an eine staatliche Einrichtung, die Daten bestimmten Forschungsprojekten zur Verfügung stellt. Pseudonymisiert bedeutet, dass Forschende nicht einsehen können, von wem die Daten stammen.