この図は、ユーザーがSQL要求を発行したときのOracle Label Securityの動作を示しています。最初に、Oracle 11gによりDAC権限がチェックされ、ユーザーが表に対するSELECT権限を持っているかどうかが確認されます。次に、表にVPDポリシーが連結されているかどうかがチェックされます。連結されている場合は、元のSQL文にVPD SQL変更（WHERE句）が追加され、ユーザーがアクセス権を持っている行のセットが判別されます。次に、Oracle Label Securityにより、このセットに含まれる各行のラベルがチェックされ、ユーザーがアクセス権を持っている行のサブセットが判別されます。