Behalve technische maatregelen, welke door Bastion 365 en Microsoft worden geregeld moeten organisaties ook organisatorische maatregelen nemen. Dit zijn met name maatregelen rondom het informatiebeleid.
- Wie heeft toegang tot privacy gevoelige informatie, ook bij groepsmailboxen en bij afwezigheid van collega’s.
- Wie mag informatie delen, welke informatie mag gedeeld worden en op welke wijze (welke kanalen).
- Wie bewaakt de verzendingsgronden.
- Mag informatie verstuurd worden naar landen buiten de Europese Unie.
- Wat zijn de bewaartermijnen, in welke systemen en wel loggingsmethoden.
- Welke loginmethoden worden gebruikt, op welke apparaten, is emailtoegang ook toegestaan op privé tablets of telefoons.
- Wie heeft welke verantwoordelijkheden en wel controle mechanismen worden gebruikt.
Meestal hebben organisaties al een bestaande informatiebeleid, er hoeft voor NTA 7516 geen apart beleid te worden opgesteld maar Veilig Mailen zal zeker een plek krijgen binnen het bestaande beleid. Bij gezondheidsorganisaties is het beleid meestal al geregeld binnen de eisen van de NEN 7510.