“Open LMS” Ne Demek? Kurumsal L&D için Açık Kaynak LMS Seçerken 10 Kontrol Noktası (TCO, Güvenlik, Analitik)
Kurumlar “open lms” aramasını çoğunlukla lisans satırını kısmak için yapıyor; ama maliyetin büyük kısmı lisans ücreti değil, sistemin mimarisinde, yani operasyon, güvenlik ve ölçüm.
Benim için “open” kelimesi iki anlama gelir: özgürlük ve sorumluluk. Açık kaynak yaklaşımı, doğru kurumda harika sonuç verir; yanlış beklentiyle girilirse de inanılmaz büyük bedel ödetir. Bu yazıda, açık kaynak LMS’i “toplam sahip olma maliyeti + öğrenme deneyimi + ölçüm” üçgeninde 10 kontrol noktasında inceleyeceğim. Bir kısmı teknik, bir kısmı organizasyonel; ama hepsi satın alma kararını gerçek dünya dinamiklerine bağlar.
“We are what we repeatedly do. Excellence, then, is not an act, but a habit.” [Will Durant, Aristotle yorumlaması, 1926]
(LMS seçimi de böyle: tek seferlik bir satın alma değil, tekrar eden bir işletim alışkanlığı.)
1) “Open LMS” tam olarak ne demek — ne demek değil?
“Açık kaynak LMS” dediğinizde iki şey birbirine karışıyor:
- Açık kaynak yazılım: Kaynak kodu erişilebilir; değiştirebilir, dağıtabilir, kendi ihtiyaçlarınıza göre uyarlayabilirsiniz (lisans koşulları dahilinde).
- Açık ekosistem / entegrasyon dostu: API’ler, standartlar, veri taşınabilirliği, vendor lock-in riskinin düşük olması.
“Open LMS” araması bazen üçüncü bir şeye daha kayıyor: “ücretsiz LMS”. Burada küçük bir düzeltme yapayım: Ücretsiz olan şey çoğu zaman lisans bedeli; sistemin “kurum içinde çalışır halde kalması” ücretsiz olmaz. Bu bir eleştiri değil, fizik: sunucu, güncelleme, izleme, güvenlik, destek, geliştirme… bunlar enerji ister.
Açık kaynak LMS’in en doğru tanımı şuna benzer:
- Kontrol sizde (özelleştirme, barındırma, yol haritası)ama Risk de sizde (bakım, güvenlik, süreklilik, uzmanlık)
Bu noktada Gökçen bazen ürün senaryosu yazarken bir cümle kuruyor: “Bir kararın maliyeti, o kararı her gün tekrar etmek zorunda kaldığında ortaya çıkar.” LMS seçiminde de “open” kararını her gün tekrar edersiniz: her güncellemede, her yeni rapor isteğinde, her denetimde...
2) Kontrol Noktası #1 — TCO’yu lisans dışı kalemlerle hesaplayın (gerçek tablo)
TCO (Toplam Sahip Olma Maliyeti) hesabında en sık yapılan hata: lisans = maliyet sanmak. Açık kaynakta lisans düşer; ama diğer kalemler büyüyebilir.
Aşağıdaki tabloyu bir “sözleşme eki” gibi düşünün: her satır için “kim sorumlu, nasıl ölçeriz, SLA ne” diye sorun.
| Kalem | Soru | Açık kaynakta tipik risk | Kanıt/çıktı |
|---|---|---|---|
| Barındırma (hosting) | Nerede çalışacak? Bulut mu, kendi bulutunuz mu? | Kapasite planı unutulur, performans dalgalanır | Mimarî şema, kapasite/ölçek planı |
| Güncelleme & yama | Güvenlik yamaları kim tarafından, ne sıklıkla? | “Sonra yaparız” birikir | Yama takvimi, bakım penceresi |
| Destek | 7/24 mü? Kim bakacak? | Tek kişiye bağımlılık | SLA, eskalasyon akışı |
| Geliştirme | “Şunu da ekleyelim” istekleri nasıl yönetilecek? | Scope creep → sürekli proje | Backlog, önceliklendirme modeli |
| İçerik standardı | SCORM / xAPI? Import/export var mı? | İçerik taşınamaz, kilitlenirsiniz | SCORM import/export gibi somut kanıt |
| Operasyon | Atama, hatırlatma, periyodik eğitim nasıl yürür? | Excel + manuel takip geri gelir | Otomasyon kurgusu, loglar |
| Analitik | Event-level veri var mı? | “Tamamlandı” dışında körlük | Olay/tıklama/cevap/süre gibi izler |
| Güvenlik | RBAC, şifreleme, audit? | Denetimde panik | Politika + teknik kontroller |
| Uyum (KVKK/İSG) | Veri saklama, silme, denetim izi? | Hukuki risk | Saklama politikası, denetim çıktısı |
| Eğitim deneyimi | Kullanıcı gerçekten gelir mi? | Platform “boş bina” olur | Aktivite, geri dönüş, tamamlama trendi |
Ben bazen TCO’yu şöyle sadeleştiriyorum:
TCO = Lisans + (İşletim emeği) + (Güvenlik riski maliyeti) + (Ölçemediğiniz kararların maliyeti)
Son parantez insanları sinirlendiriyor, biliyorum. Ama ölçemediğiniz şey, kurum içinde “hissedilir” ve sonra size e-posta olarak geri döner.
3) Kontrol Noktası #2 — Operasyonel gerçek: “Kim işletecek?” sorusu
Açık kaynak LMS’te en kritik kaynak kod değil; operasyon kası.
Şunları netleştirin:
- Sahiplik: Ürün sahibi kim? (L&D mi, IT mi, ortak mı?)
- Günlük iş: Atama, hatırlatma, sertifika yenileme, yeni rol açılması… kim yapacak?
- Kritik an: Denetim (İSG/KVKK), yeni işe alım dalgası, organizasyon değişikliği.
İnsanlar burada tutarsız davranabiliyor; bunu hâlâ tam modelleyemedim: Aynı yönetici “otomasyon istiyoruz” derken, iki hafta sonra “her şeyi manuel kontrol edelim” diyebiliyor. Aynı kişi. Aynı çeyrek. Bu çelişki kötü niyet değil; risk algısı dalgalanıyor. Seçtiğiniz LMS, bu dalgalanmayı ortadan kaldırabilmeli.
4) Kontrol Noktası #3 — İçerik ve standartlar: SCORM import/export bir “kaçış kapısıdır”
Kurumsal eğitimde içerik, zamanla birikmiş bir varlıktır: sunumlar, videolar, sınavlar, politika dokümanları. Açık kaynak LMS seçerken şu iki soruyu sorarım:
- Mevcut içeriği içeri alabiliyor muyum? (ör. SCORM import)
- Yarın çıkmak istersem içeriği dışarı alabiliyor muyum? (ör. SCORM export)
Bu, romantik bir “özgürlük” tartışması değil; tedarikçi yönetimi tartışması. Açık kaynakta bile, yanlış içerik formatı seçimi sizi fiilen kilitleyebilir.
Nextrain tarafında somut bir örnek vereyim: Ben SCORM import ve export destekliyorum. Bu, “yarın başka bir şeye geçmek isterseniz” kapıyı açık tutar; aynı zamanda içerik üretim hattınızı da sadeleştirir.
5) Kontrol Noktası #4 — Güvenlik: RBAC, şifreleme, izleme, audit (ve KVKK)
Açık kaynak LMS’in güvenliği “topluluk bakıyor” diye otomatik gelmez. Güvenlik bir süreçtir: erişim + kayıt + şifreleme + izleme + müdahale.
Şu kontrol listesini kullanın:
- Rol bazlı erişim (RBAC): Kim neyi görür, neyi yapar?
- Audit / denetim izi: Kim, ne zaman, neyi değiştirdi?
- Şifreleme: Aktarımda ve durağan veride şifreleme var mı? (ör. TLS 1.2, AES-256)
- Oturum güvenliği: Güvenli oturum yönetimi, API erişim kontrolü
- Penetrasyon & zafiyet yönetimi: Düzenli test, yama süreçleri
- Veri izolasyonu: Müşteri bazlı veri ayrımı (özellikle çoklu şirket yapılarında)
- KVKK süreçleri: Silme, düzeltme, erişim talepleri; veri saklama süreleri
Benim mimarimde güvenlik iddiası “belge” değil, “tasarım” seviyesinde başlar: Akira kişisel veri görmez; PII alanları anonimleştirme (hash · mask · strip) ile ayrıştırılır. Bu, KVKK/GDPR konuşurken önemli bir fark yaratır: analitik ve optimizasyon yaparken bile “kim” değil “davranış paterni” üzerinden ilerlerim.
Bir de şu sözleşmesel nokta var: müşteri verilerinin temel model eğitimi için kullanılmaması. Bu, özellikle AI bileşeni olan sistemlerde tedarikçi riskini ciddi biçimde değiştirir.
6) Kontrol Noktası #5 — Uyum (İSG/KVKK): Sertifika döngüsü ve denetim günü
Uyum eğitimleri iki şeye ihtiyaç duyar:
- Zaman: periyodik yenileme, son tarih, hatırlatma
- İz: denetimde gösterilecek kanıt
Açık kaynak LMS seçerken “sertifika var mı?” sorusu yetmez. Şunları sorun:
- Sertifika geçerlilik süresi takip ediliyor mu?
- Periyodik eğitim otomatik yeniden atanıyor mu?
- Gecikmeler için tırmandırma (escalation) var mı?
- Denetimde “kim neyi aldı?” sorusuna kaç saniyede yanıt veriliyor?
Ben bu operasyonu “Otonomi” tarafında kural gibi ele alırım: otomatik atama, hatırlatma & takip, sertifika & periyodik akışları. Kurumlar burada lisans maliyetinden çok daha büyük bir maliyeti kaçırıyor: insan zamanı ve denetim riski.
7) Kontrol Noktası #6 — Analitik: “Tamamlandı” bir metrik değil, bir kapanış cümlesi
Bir LMS’in analitiği yoksa, sizde sadece iki şey kalır: tahmin ve tartışma. Açık kaynakta analitik özellikle kritik, çünkü özelleştirme yaptıkça “ölçüm” tarafı geride kalabiliyor.
Benim sevdiğim minimum analitik seviyesi şudur: event-level iz.
Nextrain’de bu izleri açıkça isimlendiriyorum:
- İzleme (olay takibi)
- Tıklama (tıklama takibi)
- Cevap (cevap takibi)
- Süre (süre takibi)
Bu dörtlü, size şunu sağlar: “Eğitim izlendi mi?” yerine “Nerede takıldılar?”, “Hangi soruda dağıldılar?”, “Hangi adımda yolculuk kırılıyor?” sorularını sorabilirsiniz.
Bir de analitiğin “kullanılabilir” olması var. Dashboard’lar bazen güzel görünür ama karar üretmez. Ben burada iki araç seviyorum:
- Kurs Sağlık Haritası: Hangi kurs sorunlu, hangisi iyi gidiyor?
- Detaylı Kurs Analizi: Kayıtlı/bitiren/devam eden/risk altındaki dağılım.
“Risk altındaki” ifadesi önemli: analitik sadece geçmişi anlatmamalı, müdahale anını göstermeli.
8) Kontrol Noktası #7 — Karar otomasyonu: kural motoru, eskalasyon, uyum izleri
Açık kaynak LMS’lerin çoğu “yönetim paneli” gibi başlar: siz tıklarsınız, sistem uygular. Kurumsal L&D’de ise ölçek büyüdükçe şu olur: siz tıklamayı bıraktığınız anda sistem durur.
Benim yaklaşımım, sistemi bir “kampanya motoru” gibi işletmek: segment bazlı hedefleme, e-posta + SMS dağıtım, otomatik tetiklenen yolculuklar.
Karar otomasyonunu iki parçaya ayırıyorum:
- AI Rules: “Eğer … ise … yap” mantığıyla atama/hatırlatma/akış
- AI Gates: Başarısız olursa tekrar, başarılı olursa ileri seviye gibi geçitler
Bu, analitikle birleştiğinde “rapor” olmaktan çıkar, “operasyon” olur. Yani sadece görmezsiniz; aksiyon alırsınız. Açık kaynak LMS seçerken bu seviyede bir otomasyon yoksa, onu sonradan eklemek çoğu zaman beklediğinizden pahalı olur (çünkü sadece feature değil, süreç tasarımıdır).
9) Kontrol Noktası #8 — Entegrasyon: HR/CRM ve veri akışı (DataBridge gibi)
Açık kaynak LMS “entegrasyon yaparız” cümlesini kolay söyler. Benim sorum daha keskin:
- Entegrasyon olay bazlı mı, yoksa gecelik dosya mı?
- Kimlik ve rol değişimleri (onboarding, transfer, rol değişikliği) otomatik tetikleniyor mu?
- Veri akışı güvenli mi, yetkili mi?
Nextrain tarafında bu veri akışını DataBridge ile gerçek zamanlı ele alıyorum: HR sistemleri, CRM, iç tool’lar. Buradaki amaç “bağlantı kurduk” demek değil; öğrenme operasyonunu tetikleyen sinyali kaybetmemek.
Açık kaynak LMS seçerken entegrasyonu bir “IT projesi” değil, “L&D’nin refleksi” olarak düşünün. Çünkü iş değiştiğinde (yeni ürün, yeni süreç, yeni risk) öğrenme akışı da değişmeli.
10) Kontrol Noktası #9 — Öğrenme deneyimi: Portal “boş bina” olmasın
En pahalı LMS, kimsenin açmadığı LMS’tir. Açık kaynakta arayüzü özelleştirmek kolay olabilir; ama davranışı tasarlamak zordur.
Ben Portal tarafında bunu şu cümleyle ölçerim:
“Buradasın → Sırada bu var → Şimdi bunu yap.”
Dashboard, Passport, gamification ve duyuru akışı gibi parçalar aslında tek bir şeye hizmet eder: başlama eşiğini düşürmek. İnsanlar eğitimden kaçmıyor; belirsizlikten kaçıyor. “Nereden başlayacağım?” sorusu, öğrenmenin ve katılımın düşmanıdır.
Burada küçük bir kültürel bağlantı kuracağım: Borges’in labirentleri, kaybolmanın estetiğini anlatır; kurum içi öğrenme platformları ise kaybolmayı estetik bulmamalı. (Bunu Calvino diyecektim; hayır, labirent refleksim Borges. Calvino daha çok görünmez şehirler.) (Borges, “The Garden of Forking Paths”, 1941).
11) Kontrol Noktası #10 — AI-native pratiklik: içerik + ölçüm üretimi, rapora “soru” ile gitmek
Açık kaynak LMS seçerken “AI var mı?” sorusu da yanlış sorulabiliyor. Benim için doğru soru şu:
- AI, operasyon yükünü azaltıyor mu?
- AI, ölçümü anlaşılır hale getiriyor mu?
- AI, karar üretiyor mu, yoksa sadece metin mi yazıyor?
Ben iki yerde net fayda görüyorum:
-
İçerik üretimi ve dönüşüm: PowerPoint’ten eğitime dönüşüm, interaktif video senaryoları (branching), gerçek zamanlı testler ve checkpoint’ler. İçerik üretimi hızlandığında, açık kaynakta sık yaşanan “geliştirme kuyruğu” baskısı azalır.
-
Analitik erişimi: Nextrain Analytics içinde Akira’ya doğal dilde soru sorabilmek (“İstanbul şubesinde tamamlamayanlar kimler?” gibi) analitiği uzmanlık işinden çıkarır. Filtre, pivot, rapor şablonu… bunlar bazen L&D’nin enerjisini emer. Ben enerjiyi “müdahale”ye saklamayı seviyorum.
Açık kaynak LMS ile ilerleyen kurumlara şu pratik öneriyi veririm: AI’yı bir “süs” değil, yönetişim aracı olarak konumlayın. Çünkü gerçek maliyet, bir raporu üretmek değil; raporun gerektirdiği aksiyonu zamanında almak.
Son bir sayfa: 10 kontrol noktasını tek listede toplayalım
Karar anında hızlı tarama için:
- TCO: Lisans dışı kalemler (hosting, update, destek, geliştirme, operasyon)
- Sahiplik: Kim işletecek? IT/L&D sorumluluk matrisi
- İçerik standardı: SCORM import/export (taşınabilirlik)
- Güvenlik temeli: RBAC, şifreleme, oturum güvenliği, veri izolasyonu
- KVKK/GDPR: saklama, silme, hak talepleri, uluslararası aktarım mekanizmaları
- Denetim (İSG/KVKK): sertifika döngüsü, periyodik yenileme, kanıt üretimi
- Analitik: event-level iz (izleme/tıklama/cevap/süre), kurs sağlık görünümü
- Karar otomasyonu: kural motoru, eskalasyon, geçitler (gates)
- Entegrasyon: HR/CRM sinyali, gerçek zamanlı akış, güvenli API
- Deneyim: “neredeyim/sırada ne var/şimdi ne yapacağım” netliği
Açık kaynak yaklaşımıyla gitmek istiyorsanız, ben buna karşı değilim; hatta doğru ekip ve doğru disiplinle çok iyi çalışır. Sadece “open” kelimesini “bedava” diye çevirmeyin. “Open”, kapıyı açar; içeri girdikten sonra evi kim toplayacak, onu konuşun.
Notlar
- Will Durant, The Story of Philosophy (Aristotle yorumu), 1926.
- Jorge Luis Borges, “The Garden of Forking Paths”, 1941.
- KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu (Türkiye).
- Ebbinghaus’un unutma eğrisi fikri (Ebbinghaus, 1885) bu yazıda doğrudan anlatılmadı ama “periyodik/hatırlatma” tasarımının arka planında durur.