SORMAS operiert vollständig innerhalb der gesetzlichen Voraussetzungen des Infektionsschutzgesetz (IfSG), besonders Paragraph 14 IfSG. Es erfüllt auch die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetz (BDSG). Zusätzlich wurde das System im Juni 2019 durch ein externes Sicherheitsaudit geprüft, wonach es den derzeit gültigen Sicherheitsstandards entspricht. Folgende Sicherheitsaudits sind geplant.
SORMAS-ÖGD ist keine „Tracking App“, es greift nicht auf Geokoordinaten oder Bluetooth-Aktivitäten von Mobiltelefonen zu, weder die von Patienten noch die von Kontaktpersonen. Somit sind SORMAS und die Tracking Apps zwei komplett unterschiedliche Ansätze, die andere Aufgaben erfüllen und zudem sehr unterschiedliche Technologien einsetzen.