Fraude kan grote financiële gevolgen hebben voor een onderneming. Bij een vermoeden van fraude door een werknemer mag een onderneming overgaan tot controle om zo te kunnen bewijzen of iemand zich al dan niet schuldig maakt aan fraude. Daarbij moet wel rekening worden gehouden met privacy.
Interne fraude, nog steeds de meest voorkomende fraudevorm, kan tot veel schade leiden. Wordt een werknemer verdacht van fraude, dan kan een werkgever een controle overwegen. Daarbij moet hij wel voldoen aan de voorwaarden uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Voor een controle moet een ondernemer een legitieme reden (gerechtvaardigd belang) hebben voor de controle die zwaarder weegt dan het privacybelang. Ook moet er sprake zijn van noodzaak. Daarnaast moet een ondernemer rekening houden met het recht op vertrouwelijke communicatie van werknemers, bijvoorbeeld bij de controle van e-mail of telefoon.
Een onderneming kan kiezen voor stelselmatige monitoring of heimelijke (stiekeme) controle van werknemers. Denk bijvoorbeeld aan controle van e-mail- en internetgebruik, GPS-systemen in (bestel-)auto’s of cameratoezicht. Om dit te mogen doen, moet eerst een data protection impact assessment (DPIA) (tool) worden uitgevoerd. Blijkt hieruit dat de beoogde controle een hoog risico oplevert en er geen mogelijkheden zijn om dit te beperken, dan moet vooraf overleg plaatsvinden met de Autoriteit Persoonsgegevens (AP). Bij een regeling voor heimelijke controle moet overigens vooraf instemming worden gevraagd aan de ondernemingsraad.
Menig onderneming hanteert ook een fraudeprotocol waarin wordt beschreven wanneer sprake is van fraude en welke stappen worden gevolgd bij het constateren van fraude. Ook de sancties die een onderneming kan opleggen, kunnen worden vastgelegd.